Buenas @Hampelmann 

No tengo claro que es lo que pretendes o cual ha sido el problema. El Router, en este caso el HGU, ya está blindado por defecto todo lo que entra y sale de tu red. Lo que tienes que proteger es tu red, obviamente. Esto implica no conectar por cable ningún equipo que no sea de confianza, y por WIFI asegurarse de no tener WPS habilitado (imperativo), usar WPA2-PSK AES (o WPA3 si se tiene), y usar una contraseña segura. En caso de tener WPS habilitado, pues primero deshabilitar y cambiar contraseña.

Con eso realizado, nadie va a entrar en la red que no le des permiso tú.

Respecto a la domótica/IoT, como he dicho tantas veces, no tiene ningún sentido, es un peligro y es contraproducente usar dipositivos de bajo flujo por WIFI, para eso se tiene Zigbee. Más seguro, más rápido, menos interferencias, todo ventajas. so en cuanto a enchufes, bombillas y ese tipo de cosas. Una cámara por ejemplo no, sí requiere un flujo alto por lo general.

Otra cuestión totalmente diferente es que tu red privada sea una red "pública" en la que permites que "cualquiera" pueda andar accediendo a ella. Pero esto automáticamente es una barbaridad. Es cierto que en entornos empresariales donde hay a lo mejor centenas de equipos, muchísimos trabajadores y otros, suele ser habitual segmentar la red o incluso imponer controles de acceso, ACL, autentificación de puertos... pero repito, hablamos en entornos empresariales donde la seguridad está muy por encima a la usabilidad, y en redes que no puedes controlar nunca quien se conecta... y obviamente con Router que no son domésticos, Switchs que no son domésticos, redes WIFI que suelen usar RADIUS... en fin creo que se entiende lo que quiero decir.

Además, aunque es potencialmente posible aislar ciertos dispositivos, no es algo tan sencillo desde un punto práctico. Es decir, querrás que el dispositivo que sea pueda acceder a Internet o al menos a la red local, o no lo tendrías conectado al Router/AP. Pero si lo aíslas del resto, tampoco tendrías acceso tú, o incluso el propio dispositivo. Es decir, tendrías que configurar muy fino cada dispositivo, teniendo que invertir gran cantidad de tiempo de especificar que dispositivo sí tiene acceso a quien, cual no, como, que servicios... Y ojo, en un Router propio que sea más o menos decente esto puede hacerse de forma relativamente sencilla con iptables/ebtables, pero al final te sale más caro el collar que el perro... tomando aquí el dinero como tiempo de uno mismo, y tener mucho cuidado de no autobloquearte.

Sí, también se puede segmentar una red por VLAN en la que todo lo que fuese sensible fuese por una VLAN diferente, o directamente conformar una red diferente separada de forma efectiva por el FireWall de un Router. Pero al final eso solo te aporta principalmente complejidad.

Otra opción que usan muchos, y a mi la verdad no me gusta, es usar redes WIFI invitados con aislamiento, lo cual hace que tan solo puedan tener acceso los dispositivos conectados ahí a Internet, y en todo caso entre ellos. Pero esto degrada de forma importante WIFI y obviamente no aisla realmente a ningún dispositivo, lo que aísla es a los dispositivos conectados a ella.

Opciones todas las que quieras, dependiendo del Router que tengas pues pueden usarse unas u otras y dependiendo de conocimientos también. En lo relativo al HGU que tienes, siempre podrías poder jugar con el Firewall del Router para bloquear o aislar tráfico en la red local, pero repito con muchas limitaciones y pocas ventajas, y podrías tb habilitar aislamientos WIFI, pero lo mismo digo.

Por regla general lo más práctico, funcional y sólido es lo que es más sencillo. Cuanto más complicas una red, al final más cabos sueltos tienes que ir tapando, y luego otros para tapar esos otros... una red puede ser sencilla y segura, y en este caso es tan sencillo como conectar a tu red únicamente dispositivos confiables. Nada más, y como evitar que te roben WIFI es bastante sencillo...