aha, tak prostě další VLAN ve WLAN- principiálně se nic nemění, jen se změní fyzické porty routeru.

ad DNS: ano, v podstatě je to zbytečné.

ad virtuály: pokud používáš NAT, tak ne. Musel bys mít hodně divoce nastavený DNAT (alias portforwarding). Jediný, kdo se na ně dostane, budou stanice v LAN.

pokusím se ti vysvětlit pravidla cos uvedl:
To první používá tabulku INPUT, aplikuje se tedy pouze na pakety, jejichž cíl je samotný router (stroj na kterém běží dané FW pravidlo).
To druhé je totožné, jediný rozdíl je v tom, že je použito jiného rozhraní, a to virtuálního PPP tunelu, kdežto v prvním případě šlo o fyzické rozhraní.