Na imagem abaixo tem exatamente o que eu preciso fazer. Se tiver algumas dicas de como fazer isso eu agradeço muito.
Essa imagem não estava antes... isso seria fácil de fazer com um switch gerenciável (e VLANs). Como você não tem um, sugiro que use placas de rede adicionais em seu servidor/firewall.
Outra coisa, não sei se vc percebeu, mas vc não tem 3 grupos, e sim dois. O grupo das estações LTSP não conta, porque elas não acessam a internet. Quem faz isso é o servidor LTSP. E se ele tem as mesmas permissões de acesso do grupo cabeado, então é o mesmo grupo, não?
Observo também que vc tem um roteador wireless oferecendo acesso pra um grupo de estações com menos privilégios. Já verificou se essas restrições que vc quer implantar não podem ser feitas no próprio roteador wireless?
Na verdade o que me impede de colocar 2 placas de rede é a estrutura física do local. O cabo que sai do Firewall liga a um Switch, que a partir dele saem cabos para os 2 grupos de usuários. O ideal seria separar em 2 ou talvez 3 sub-nets. Mas infelizmente não tenho como.
O Roteador Wireless não me dá possibilidade de limitação de banda e controles, pensei em talvez criar regras (squid) para limitar a banda para o IP do ROteador wireless (que irá distribuir dhcp em outra faixa, diferente da rede interna). Seria a melhor solução para o meu problema?
Quanto ao servidor de terminal, ele acessa a internet com velocidade reduzida, mas não pode acessar os compartilhamentos da rede 2, que é a rede interna da empresa.
Outra coisa, que regras são realmente importantes para um firewall corporativo? Regras para proteger o servidor da empresa de ataques e acessos indevidos.(Além das que eu coloquei nos scripits acima)... Pois vou usar um proxy na mesma máquina para controle de acesso a websites e controle de banda.