[HotSpot] - Captive portal/strona powitalna + squid + linux

Firma udostępnia hotspot, jednak coraz częściej jest to nadużywane. Obciąłem prędkość z poziomu AP (nie bijcie, nie ja to stawiałem), ale nadal widzę, że torrenty latają jak szalone. Osoba, która to stawiała niezbyt miała pojęcie co do czego. Sprzęt, jaki mam do dyspozycji to AP Tp-Link TL-WR543G oraz pecet. Wpadłem na pomysł, aby na pececie zainstalować linuxa (jeszcze nie wiem jaka dystrybucja, to do ustalenia) + squid i postawić to jako transparentne proxy. Tym sposobem będę mógł ograniczyć ruch tylko do www oraz ustawić timeout dla sesji. Chciałbym jednak dodatkowo, aby po pierwszym uruchomieniu przeglądarki u klienta pojawiła się strona startowa przygotowana przeze mnie. Nie chodzi mi o autoryzacje, tylko o poinformowanie, na jakiej zasadzie działa hotspot (strona z regulaminem i przyciskiem w stylu "akceptuje"). Nie oczekuję, że ktoś mi napisze gotowy skrypt. Liczę jednak na jakieś podpowiedzi. Czy zrobię to z poziomu squida, czy jakoś inaczej?

A nie możesz zablokować portów ? Wtedy nawet jak ci torrenty puszczą to i tak nie będzie żadnej transmisji bo nikt się z nikim nie połączy.

Mogę, ale chciałbym jeszcze timeout dla sesji ustawić. Można sobie ciągnąć z serwerów www co również będzie obciążać łącze.

Na mikrotiku masz gotowy pakiet do obsługi hotspot. Co do proxy to jak najbardziej dobre rozwiązanie które także powinno działać z poziomu RouterOS.

@Krzysiek99 Użytkownik sam sobie wybiera jaki port używa w kliencie.
Chyba, że zablokuje cały zakres nie używanych portów przez standardowe usługi.

O tym właśnie napisałem, blokada w routerze całego zakresu. Albo inaczej w routerze musimy sobie odblokować dany zakres portów by działał zdalny pulpit, z tego co wiem by torrenty działały też tak musimy zrobić.

Chodzi mi tylko o to, żeby działały strony www, no ewentualnie jeszcze https. Ale timeout jak najbardziej by się przydał, co skutecznie zlikwiduje pijawki używające internetu z hotspota w domu (na sprzęt do odbioru wart 300-400zł ich stać, ale 50zł na neostrade to już szkoda).

Lekko mija się z celem hotspota - latanie po kimś w celu zaakceptowania regulaminu, jak chcemy skorzystać tylko na sekundę.
Również polecę Mikrotika - zamiast prądożernego PC i routera masz malutkie urządzenie, które odwali za Ciebie całą robotę. Jedyne co musisz zrobić (jak chcesz) to zmienić stronę hotspota. Jako potwierdzenie regulaminu dasz hasło i nikt już nie powie, że go nie czytał.
Jak masz mały obszar do pokrycia, to spokojnie RB951-2n, jak trochę większy to 751 i zewnętrzna antenka.

Jeśli koniecznie musisz użyć PC to faktycznie jakikolwiek linux (znajdź jakiś lekki) + jakiś Captive Portal + trochę rzeźby + dużo prądu.

Wybrani pracownicy mają dostęp do sieci wifi wewnątrz firmy, zaszyfrowanej WPA2, która jest integralną częścią całej sieci lokalnej. Istnieje taka potrzeba, ponieważ część osób pracuje z urządzeniami przenośnymi i potrzebuje danych z serwera. HotSpot natomiast to zupełnie odrębna sieć, wyrzucona antena na zewnątrz i korzysta kto chce. Pierwotnie miało to być w ramach "gościnności", ale znalazły się cwaniaki, porobili instalacje antenowe i korzystają z tego na zasadzie "internet domowy". Nawet obcięcie prędkości do 256kb/s (nie może być mniej, według wytycznych) nikogo nie odstraszyło.

Masz listę Adresów MAC w routerze i ilość przesyłanych pakietów, obserwuj tę listę przez 2 dni i na tej podstawie zablokuj dane urządzenia. MAC można zmienić ale nie każdy to potrafi i nie każde urządzenie daje taką możliwość. Bez wydania zł szybko pozbędziesz się "gości"
Mógł byś też zmieniać hasło codziennie, a hasło było by w "portierni/recepcji" Szybko wtedy byście zlokalizowali "gości"

Ja bym w to PCta nie mieszał to za gruba armata i za wiele żre prądu.
Kupił bym jakiś returek na którym można posadzić tomato i odfiltrować wszystko poza pocztą i www.
Do tego tomato ma jakieś tam wsparcie dla captive portal.

Ale co powinieneś zrobić to przypilnować gnid i odfiltrować mac adresy, potem znowu.