Wireless on different interface

I have this exact same setup on my box. 

The rule to allow WLAN to WAN (network) doesn't work because that only affects traffic to the subnet that contains your WAN interface (usually the network between you and your ISP and maybe your neighbors)..it doesn't mean "The Internet". So to allow access to just the Internet, you need to do as BarryG suggested and setup a rule to drop or reject anything from WLAN to your LAN (or each of your LANs if you have more than one) and then allow any from the WLAN to any. The rules to drop will be applied before the allow, so all traffic from WLAN to your LAN will be dropped and all other traffic (which should only be WLAN to Internet) will be allowed. What I did to make sure that this was working was to enable logging on the WLAN to Any rule for a few days to make sure no unwanted traffic was being allowed.

Hope this helps,

Daniel

I'm having the same problem in regards to my wireless side and when trying to test adding a third network which would only need internet access as well. I will try what was suggested for my wireless side though.

So, placing this type of rule, in the specific order, would be the appropriate way of blocking the wireless users from entering the LAN? Is it ok to add multiple rules like this? If so, wouldn't the long list of packet rules slow down the firewall?

Lastly, I'm under the impression that if I allow wireless VPN users access to the LAN, they would still have it, correct?

Thanks!

The order of rules is very important, not only for security, but also for performance.

The rules are applied sequentially and as soon as a packet hits a rule that packet is handled accordingly. 
So from a security point of view, you must chose the order carefully. My 14 rules does have the genral order:
1) Deny specific traffic
2) Allow specific traffic
3) Deny all

From a performance point of view, try to set your most stringent rules first (of course without compromizing security [:)] ). The sooner a rule is hit, the better performance.

Regarding your wireless VPN users, yes they can have access to the LAN, since they are on a different network (VPN) and therefore you can make a distinction between ordinary wireless connections and VPN connection (both wireless and wired).

The order of rules is very important, not only for security, but also for performance.

The rules are applied sequentially and as soon as a packet hits a rule that packet is handled accordingly. 
So from a security point of view, you must chose the order carefully. My 14 rules does have the genral order:
1) Deny specific traffic
2) Allow specific traffic
3) Deny all

From a performance point of view, try to set your most stringent rules first (of course without compromizing security [:)] ). The sooner a rule is hit, the better performance.

Regarding your wireless VPN users, yes they can have access to the LAN, since they are on a different network (VPN) and therefore you can make a distinction between ordinary wireless connections and VPN connection (both wireless and wired).

One other option to restrict the Wireless LAN access exists with port binding that is now available in 7.1xx; create a network definition of type network, Network 0.0.0.0/0, and select your Internet ethernet port as the port that is bound to the definition (I often name this as Any Internet Site).  One allow rule in your packet filter is all that is needed, Wireless (network) -> allowed services -> Any Internet Site.  No extra deny rules needed.