Если к отдельному хосту в сегменте protected или ко всему сегменту целиком применить политику Без доступа в Интернет, то доступ блокируется к такому хосту из других protected интерфейсов (VPN туннелей).
Например сегмент IoT переводим в Без интернет. И доступ в этот сегмент из доверенного Wireguard туннеля попадает. NAT везде выключен.
В iptables это хорошо видно… Тем есть правила - из сегмента, в сегмент. Для IoT там будет DROP.
А вот private туннельные интерфейсы в этой цепочке отсутствуют.