Si Wireguard est votre seule porte d'entree depuis l'exterieur, je ne suis pas sur de comprendre votre problematique.
Sinon, votre cas de figure pourrait assez typiquement relever d'un chargement dynamique de regles de pare-feux.
Si la problematique est de se proteger de son propre LAN, cela meriterait, a minima, quelques dizaines de lignes de developpement.