适用于带宽有限的小型酒店的无线 AAA

我们（和我一起工作的技术人员和我自己）住在一个偏远的北部小镇，那里的互联网接入有点奢侈，带宽也相当有限。在这里，每月几百到几千美元的超额费用并不罕见。我自己每月仅通过在家中正常使用互联网就需要支付定期费用（我可以用 60 加元获得 10G 流量！）

作为我工作的一部分，我发现自己与几家酒店都有这种感觉。我知道我可以想出办法来解决这个问题，但我对系统管理还比较陌生，我不希望我的梦想战胜现实。

因此，我将这些想法传达给那些比我更有经验的人，希望你们能分享一些想法和顾虑。

这个系统必须具有成本效益，是的，这里的收费很高，但对技术的信任是我见过的最低的。

• 必须能够帮助客户减少使用量（squid）
• 允许有限量（吞吐量和总使用量）的免费互联网，因为这通常是特许经营政策。
• 允许用户跟踪其带宽使用情况
• 允许（可选）提高速度和/或使用率，但需额外付费。此费用可在前台结账时收取，无需使用 PayPal 或信用卡。
• 不幸的是，一些特许经营店的政策很荒谬，要求使用
  第三方远程服务来验证客人是否能访问您的网络。这意味着 WPA 被淘汰，也意味着我不会在使用互联网之前进行身份验证，这是他们的工作。但是，如果酒店没有此政策，我确实需要能够执行互联网访问身份验证。我仍然必须跟踪带宽（默认情况下在客人帐户下）并提供相同的限制，但是客人通常需要完全“无限制”的访问，就存在性而言，而不是吞吐量。
• 为没有办公室和客人网络隔离的酒店提供防火墙功能（其中一些人在客人网络上运行他们的办公室，没有加密，只有简单的 TOS ！）
• 防止访客连接到其他访客，但提供允许这种情况发生的方法。例如，每个访客连接到一个页面并允许其他访客，这会写入 iptables 规则（使用 python-netfilter）并允许两个房间玩游戏。

我对如何实现这一点的想法。一个像样的盒子（我们现在称之为路由器），有大量内存和 3 个 NIC：

1. 互联网
2. 办公室
3. 客人（AP + 室内以太网）

路由器防火墙规则

• 客人只能与路由器对话，通过路由器他们可以路由到他们需要去的地方，包括互联网服务。
• 如果现有解决方案尚未到位，则可以使用 Office 将 Office 桥接到 Internet，否则，它仅适用于网络可访问的 Web（webmin+python-webmin？）界面。

路由器软件：

• OpenVZ 为一些我不太信任的服务提供了虚拟化。Squid、FreeRADIUS 和 Apache。唯一可供访客直接访问的服务是 Apache。
• Apache 有 mod_wsgi 和 django，因为我可以使用 django 快速编写，而且我的需求不多。它也可能具有 FreeRADIUS mod，但似乎有一些注意事项。
• 防火墙规则由路由器上的 iptables 处理。
• Webmin（或者可能是自定义的 django 应用程序）对员工可能需要访问的任何功能提供了抽象控制。
• Python，如果你还没猜到的话，它是我最喜欢的语言，我几乎在所有事情上都使用它。

最后，这项工作完成了吗？这是否是一个过于庞大的项目，不值得一个人承担？或者我是否缺少一些可以让我的生活更轻松的工具？

顺便说一下，我相当擅长 Python，但对其他许多语言不太熟悉（我很难掌握 PHP，但这只是表面上的问题）。我还是 Linux 的狂热用户，熟悉配置文件和命令行。

感谢您的时间，我期待阅读您的回复。

编辑：如果这不是一些人所期待的问答，我深表歉意，我只是在寻找想法，并确保我不会尝试做已经做过的事情。我现在正在考虑 pfSense，作为我所需要的一个可能的起点。