Jetzt mal abwarten was der TE noch für Überlegungen hat.
Damit bin ich wohl gemeint. Tja, ich komme ehrlich gesagt nicht mehr ganz mit. Ich kann aber schonmal die Vermutung wiederlegen, dass alles per WLAN funktionieren soll. Das habe ich weder gedacht, noch geplant oder gar geschrieben. Die WLAN-Funktion wird derzeit nur von zwei Geräten genutzt. Primär dient der OpenWRT-Router als NAS. Das WLAN im Roueter dient als reiner AP, falls die Reichweite des WLANs des Internetrouters nicht ausreicht. Alles was damit verbindet soll auch ganz normal Internet kriegen.
Zu dem "Overkill": Mir fallen spontan fünf Geräte ein, die (fast) kein Internet kriegen sollen. Per IPtable müsste ich dann ja für alle fünf Geräte Ausnahmeregeln schreiben. Das wird schnell unübersichtlich und dadurch fehleranfällig. Wenn dann noch irgendwas passiert, zum Beispiel dass der Hauptrouter abstürzt und die Config weg ist (schon passiert), dann sind zum Beispiel alle fest vergebenen IP-Adressen weg. Die OpenWRT-Firewall-Einstellungen wären dann nutzlos und dynamisch vergebene IPs können ja zwanglos in's Internet (gerade wegen den WLAN-Geräten, meistens Handys).
Ich glaube immernoch, dass es am einfachsten ist, den bestimmten Geräten eine Gateway-Adresse bereitzustellen, über die fast nichts erreichbar ist. Das ist übersichtlich, ausfallsicher und stört die sonstige Netzwerkkonfiguration nicht.
Welche Lösung dafür jetzt ideal ist, habe ich leider noch nicht durchschaut, aber vielleicht sollte ich mir den Threat nochmal in Ruhe durchlesen und dabei ein wenig googlen.