На техническом уровне, да, это возможно. В самом деле, вам придется использовать прозрачный прокси-сервер маршрутизации. Есть несколько способов сделать это, вот два из них:
- Подберите MAC-адрес CPE в вашей локальной сети, чтобы все запросы отправлялись на ваш прокси-сервер. Затем просто перенаправьте разрешенный трафик на исходный MAC-адрес. Нелегко обойтись, если не разбираться в сети (вам нужно отредактировать таблицу CAM станции).
- Разместите прокси прямо перед CPE и сделайте его новым шлюзом для всей локальной сети. Если есть WiFi, вам нужно деактивировать его на CPE, создать точку доступа на прокси и соединить интерфейсы WiFi и Ethernet. Невозможно обойтись без использования зашифрованного туннеля (но обмен переговорами все равно будет проходить в открытом виде, поэтому его можно будет заблокировать).
Чтобы добавить уровень аутентификации, достаточно использовать портал авторизации + локальную аутентификацию, также на прокси. Многие дистрибутивы позволяют это изначально (например, IPCop и тому подобное).
На юридическом уровне не могу сказать. Я бы сказал, что это зависит от вашей страны, но в большинстве случаев, как сказал Дэниел, я думаю, что явного согласия пользователя будет достаточно. Хотя вы должны знать, что в некоторых странах вы несете ответственность за ваше соединение, кто бы его ни использовал.