Сургутские школы ждёт очередная инновация — в четверти учебных заведений заменят программное обеспечение компьютеров и вместо привычного пакета Windows установят бесплатную операционую систему Linux ...

http://www.sitv.ru/arhiv/news/social/25544/

Шлюз получает интернеты по eth0, с помощью IEEE8021X авторизации (хотя это не важно - но нет ни каких ppp0, есть только eth0), IP на eth0 через dhcp. Eth1 - смотрит в локалку и раздаёт клиентам IP по dhcp. Шлюз является DNS'ом для клиентов (установил dnsmasq).

Требуется - обеспечить доступ клиентам к интернетам по авторизации с квотами трафика, также статистика используемого трафика, ... сквид прокси ещё. Так же есть две группы клиентов - ВИП и "Все остальные", "все остальные" не могут качать порнуху, чатится вконтактике и однокласничках и тд

В данный момент есть nat+dhcp+'transparent proxy' Дистр debian/ubuntu =)

Что посоветуете?

У меня мысли такие:

1) На серваке поднять VPN (pptp/pppoe), но хз что делать с квотированием, а так же не ясно, как настраивать iptables (по-умолчанию "всё закрыто"), т.е. открыть udp 67-68 (dhcp), udp 53 (dns), ну и tcp 80, про доступ по ssh - само собой.

2) Сделать через какой-нибудь там костыль к сквиду, и авторизацию по ncsa/etc (sams?) ... проблема: не работает с transparent proxy !

3) "Конфигурировать" различные netams, traffpro ? (Имхо, слишком "тяжелое" решение)

4) Как корявая альтернатива - dhcp клиентам выдает ip из зарезервированной подсети, они по-дефолту ни чего не могут, но скрид знает ещё одну подсеть юзеров ВИПов, им же настраивать либо "вручную" либо по привязке к мак адресу компа. (Но это не красиво)

ЗЫ: Куски конфигов приветствуются >_>

ЗЗЫ: Особо не ругайтесь ...