Auf technischer Ebene ist es möglich. In der Tat müssten Sie einen transparenten Routing-Proxy verwenden. Es gibt einige Möglichkeiten, dies zu tun, hier sind zwei davon:
- Spoof die MAC-Adresse des CPE in Ihrem LAN, damit alle Anforderungen an Ihren Proxy gesendet werden. Dann leiten Sie einfach den zulässigen Datenverkehr zur ursprünglichen MAC-Adresse um. Nicht einfach zu umgehen, wenn nicht netzwerkfähig (Sie müssen die CAM-Tabelle der Station bearbeiten).
- Stellen Sie den Proxy direkt vor das CPE und machen Sie ihn zum neuen Gateway für das gesamte LAN. Wenn WLAN vorhanden ist, müssen Sie es im CPE deaktivieren, einen Zugriffspunkt auf dem Proxy erstellen und die WLAN- und Ethernet-Schnittstellen überbrücken. Kann nicht umgangen werden, es sei denn, ein verschlüsselter Tunnel wird verwendet (der Verhandlungsaustausch würde jedoch immer noch in klarem Zustand durchlaufen, also zu blockieren).
Das Hinzufügen einer Authentifizierungsebene würde lediglich ein Captive-Portal + lokale Authentifizierung verwenden, auch auf dem Proxy. Viele Distributionen erlauben dies nativ (wie IPCop und dergleichen).
Auf rechtlicher Ebene kann ich nicht sagen. Es hängt von Ihrem Land ab, würde ich sagen, aber in den meisten Fällen, denke ich, würde die ausdrückliche Zustimmung des Benutzers ausreichen. Obwohl Sie wissen müssen, dass Sie in bestimmten Ländern für Ihre Verbindung verantwortlich sind, wer auch immer sie verwendet.