Olá amigo!
Você pode criar um Virtual AP somente para os clientes que terão IP Público e adicionar na bridge a interface do link com a interface do virtual ap.
Caso continue tendo problemas com o hotspot, faz o seguinte: coloca mais um cabo de rede saindo do link para uma 2ª porta ethernet do seu MK, então faz a bridge da 2ª ethernet com o ap virtual criado.
Faz o teste e depois posta o resultado.
Um abraço!