Filtro? Não é um filtro que vc precisa, é WPA-Enterprise, isso é uma função do AP, faz parte dele da mesma forma como o WPA-Personal que vc deve estar usando agora.
A autenticação passa a ser feita em um servidor RADIUS, os APs funcionando em modo WPA-Enterprise vão consultar o servidor RADIUS pra saber se o usuário pode acessar a internet ou não. Isso sem vc precisar quebrar a cabeça criando scriptizinho, nem fazer gambiarra de iptables.
Em cada filial nos temos um servidor somente para isso, então acho que a questão da segurança não seria problema já que não temos mas nada nesses servidores.
Pô bacana, esse é o pior erro que vc pode cometer. Um servidor tem sempre três recursos que interessam ao invasor: ele tem um processador, ele tem memória, e ele tem uma conexão internet. Se um invasor toma controle sobre seu servidor, ele ganha um trampolim de onde ele pode atacar outras máquinas sem se expor diretamente.
Além disso, você está considerando que todos os que te atacarem são invasores com algum propósito; isso não é verdade, pois há muitos que atacam apenas por atacar, sem propósito nenhum --- puro vandalismo. Outro erro é achar que o fato de você esconder alguma coisa, como um serviço como esse, garante que ninguém irá atacá-lo. Os invasores procuram, vasculham, experimentam, e mais cedo ou mais tarde descobrem as suas vulnerabilidades.
Um servidor exposto na internet é sempre um ponto fraco, e por isso tem que receber um tratamento cuidadoso de proteção contra invasões.