sim a rede primária está conectada com o hub, como eu citei o ap que está ligado no hub está como ap, os outros dois fazem bridge com a rede interna através desse ap, a rede interna acessa a rede dos aps tranquilamente e vice-versa.
Na lista de discussão do debian eu recebi algumas dicas em relação ao firewall, parece que os pacotes que passem pelos aps vem com flags especificas, amanhã vou testar e se der certo posto aqui.