Dem schließe ich mich an. Man muss nun mal einen Überblick haben um was es sich genau handelt und wie das Szenario konkret aussieht, um eine adäquate Lösung vorschlagen zu können. "Ein WLAN, das dicht ist", ist keine aussagekräftige Beschreibung.
1) Ist das ein privates Szenario oder geht es um eine Firma?
2) Wer hat physischen bzw. administrativen Zugang zur Hardware bzw zur Oberfläche der fraglichen Geräte?
3) Müssen andere Geräte aus dem Netzwerk eine Verbindung zum fraglichen WLAN-Gerät aufbauen?
4) Muss das fragliche WLAN-Gerät eine Verbindung zu anderen Geräten im Netzwerk aufbauen?
5) Müssen die jeweils anderen Geräte aus 3 bzw. 4 auch normalen Zugriff auf das Internet haben?
Das sind entscheidende Fragen, die sich einerseits um die Verantwortung drehen (Stichwort: IT-Admin!) oder aber um den Grad der notwendigen Sicherheitsmaßnahmen dreht. Darüberhinaus ist es für eine potentielle Trennung von Controller-(W)LAN und entsprechenden Clients wichtig zu wissen, ob man diese überhaupt voneinander trennen kann. Wenn man sie beispielsweise alle in ein separates Netzwerk packt und dieses zum Internet hin abschottet, kann es sein, dass Geräte aus dem Hauptnetzwerk nicht mehr auf den Controller zugreifen können, o.ä.
Es gibt ein gefühlt ein Dutzend verschiedene Szenarien wie man das umsetzen kann. Der Teufel steckt aber im Detail und um zu vermeiden, dass wir dir hier eine unpassende Lösung vorschlagen, muss man den Kontext kennen. Wenn es zB ein rein privates Szenario ist und du der einzige bist, der Zugriff hat, kann es eine schlanke Lösung sein, einfach am fraglichen WLAN-Gerät das Gateway leer zu lassen bzw. auf eine ungültige IP zu setzen. Das ist keine Sicherheit im Sinne von Schutz vor Hackern oder böswilliger Manipulation des Sohnemanns, o.ä., reicht aber prinzipiell dafür aus, dass das Gerät selbst schlicht und ergreifend merkt "oh, Internet geht nicht, das ist ja doof...". Haben hingegen auch andere Zugriff auf das Gerät oder steht es gar in einem öffentlichen Raum, reicht Quick'n'Dirty natürlich nicht mehr aus und eine sichere Lösung muss her.. Im Umfeld einer Firma wiederum gehört das in die Hände des Administrators und wenn der davon keine Ahnung hat oder es keinen gibt, muss eben ein externer Profi ins Haus geholt werden.