Разграничить доступ в интернет - 3 в 1

[Kent]

Приветствую!
Потихоньку подымаю сервер на Altlinux school server 5.0.1, более менее настроил самбу и вот дошел до момента настройки доступа к интернет.
В ЛВС имеются 4 вида компьютеров - учебные (в комп классах), в кабинетах учителей, административные, и "обособленные" (просто через нас подключены к интернет, стоят за своим роутером, настройкам почти не поддаются).
Сейчас все это подключено через коммутатор (поддерживающий VLAN) и смотрит в интернет через d-link-овский роутер (DI-808HV).
Что хочется:
1) для учебных комп. настроить СКФ который требуется свыше, для прохождения проверок (Для этого, я так понимаю, нужно прикрутить к непрозрачному sqiud NetPolice и настроить его на пропуск только по белому листу.)
2) чтоб трафик от "обособленных" шел просто  "транзитом" (просто nat)
3) для оставшихся групп комп. (те что в кабинетах учителей и административные) настроить обычный прозрачный sqiud с clamav и резалкой рекламы

По каждому пункту в отдельности вроде нашел решения, но возможно ли это совместить все в одном флаконе??

[asy]

По каждому пункту в отдельности вроде нашел решения, но возможно ли это совместить все в одном флаконе??

Возможно. При наличии достаточного количества сетевых интерфейсов всё можно сделать, а раз есть коммутатор с 802.1q, то даже на одном физическом интерфейсе можно сделать их достаточное количество. Способов разных тоже хватает, сложность в выборе.
средства такие (самодостаточные):
1. iproute позволяет использовать несколько таблиц  маршрутизации
2. можно сделать несколько ovz-контейнеров, клиентские интерфейсы загнать кадбый в свой
3. разные squid и разные редиректы в отличие от интерфейсов
4. придумать что-то ещё

[Kent]

на сервере ест-но два физических сетевых интерфейсов.
прочитал про ovz и поддержку нескольких сетей на одном физическом интерфейсе и понял что пока об этом еще рано.)
тогда более конкретизирующий вопрос - куда копать (чем реализовать) чтоб разделять трафик для squid-а по диапазону IP (скажем 172.16.0.100-150 это одни, а 172.16.0.150-200 это другие)  и/или по VLAN.
я не особо пока разбираюсь в squid, но вроде ему нельзя подобные диапазоны IP для acl задавать?

[asy]

прочитал про ovz и поддержку нескольких сетей на одном физическом интерфейсе и понял что пока об этом еще рано.)

а, может, и в самый раз.

тогда более конкретизирующий вопрос - куда копать (чем реализовать) чтоб разделять трафик для squid-а по диапазону IP (скажем 172.16.0.100-150 это одни, а 172.16.0.150-200 это другие)  и/или по VLAN.
я не особо пока разбираюсь в squid, но вроде ему нельзя подобные диапазоны IP для acl задавать?

Сквидов, возможно, потребуется два, именно этот вопрос я не изучал. Через iptables, для первых NAT не делать, можно ещё и форвардинг закрыть, для вторых сделать NAT, третьих редиректить на порт, где висит прозрачный сквид.