В свое время сделал это так.
Схема следующая-
Internet>ADSL-модем>сервер> две сетевые (первая уходит в локалку), вторая- на WAN точки доступа (она работает роутером и всех натит). После перенес все на одну сетевую и разрулил VLAN.
Работает это так- клиент подключается к WiFi, его туда пускает без проблем. DHCP на самой точке. Файрволл на сервере запрещает трафик от беспроводных клиентов в локалку и интернет, заворачивает весь трафик на прокси (позже стал второй прокси в VZ-контейнере). Клиенты и не подозревают, что работают через прокси. На сквиде есть acl, разрешающий доступ на сайты, перечисленные в файле,и запрещающий все остальное. Плюсом загоняем вайфайщиков в пул с ограничением скорости.
acl wifi src 10.12.1.1
acl wifi_dest src "/etc/squid/wifi.dst"
http_access allow wifi wifi_dest
http_acess deny wifiМинус только один- не работает пинг до сайтов.
