Users/Apps via aparte network interfaces naar buiten

Gegroet allen!

Ik zit met volgende zeer uitdagende vraag waar ik niet direct een antwoord op vind.

In het lokaal van onze jeugdbeweging hebben we een hotspot draaien om het internet verkeer een beetje binnen de perken te houden (lees: ongebreideld streamen/downloaden/torrent tegen gaan).

Nu hebben we onlangs een Raspberry Pi geïntroduceerd met Lubuntu.
De Raspberry Pi vervult twee functies:
- Er draaien wat server achtige toepassingen op
- Het apparaat wordt gebruikt als media player en om "snel even te Googlen"

Als iemand YouTube wil kijken of Google wil gebruiken dan zou deze persoon moeten inloggen met zijn persoonlijke hotspot credentials.
De services daarentegen moeten internet toegang hebben via een service accountje op de hotspot.

Hoe kan ik zoiets klaar krijgen?
Ik heb het voordeel dat de Raspberry Pi twee network interfaces heeft: LAN en Wifi. Ik kan bijvoorbeeld de services over LAN sturen en het overige gebruik via Wifi. Ik heb echter geen idee hoe dit klaar te krijgen.

Iemand tips/ideëen/oplossingen hiervoor?

Thanks!


_{PS: ik wil de hotspot niet in vraag stellen, dit is een vast gegeven en wordt niet gewijzigd.}

Bedankt voor de reply's.

De optie om de packetjes te markeren van een specifieke user lijkt me de meest aangewezen oplossing. Heb alvast eens gegoogled en volgend voorbeeld gevonden: https://www.niftiestsoftw...ecific-network-interface/
Hier ga ik alvast mee aan de slag :-)

De proxy oplossing spreekt mij minder aan:
- Ik zie niet goed hoe een proxy het onderscheid kan maken tussen verkeer van de services en van een gewone gebruiker als het van dezelfde interface komt, daar bepaalde services ook http-verkeer doen bijvoorbeeld.
- We willen een zo vrij mogelijk internet aanbieden, alleen het volume moet binnen de perken blijven. Restricties op basis van login credentials zijn dus niet echt relevant lijkt me.

Gewoon ter info, de hotspot is een oplossing van Mikrotik RouterBoard met RouterOS. Hier is inderdaad een optie in voorzien om een proxy te integreren, maar ik zie niet hoe dit kan werken omwille van bovenstaande argumenten.
Correct me if I'm wrong ;-)

@Hero of Time: akkoord met je concept, maar hoe maakt een proxy het onderscheid tussen verkeer dat van de user afkomstig is via IP x en dat van de service afkomstig is en eveneens via IP x komt? Je moet m.i. nog steeds je verkeer aan de bron zien te scheiden zodat je via twee IP adressen naar je proxy gaat.
Als je service inlogt op de proxy en vervolgens gaat de user verkeer genereren, via dezelfde interface, via hetzelfde IP adres (want hij werkt op hetzelfde device), dan wordt dat verkeer behandeld alsof het afkomstig is van de service. Toch?
Tenzij... Je proxy server op meerdere poorten luistert en je op basis daarvan dus verkeer vanaf één IP adres alsnog kan opdelen. Maar dan ben je wederom het verkeer aan de bron aan het scheiden...

Graag even toelichting over je oplossing, want ik ben wel benieuwd nu :-)


Edit:
Hoe legt een proxy de relatie tussen inkomend verkeer en een bepaalde user? Dat is toch louter op basis van source IP adres (en eventueel luisterende poort)? Het verkeer is toch op geen enkele manier gemarkeerd, of vergis ik mij?

[ Voor 12% gewijzigd door High-Voltage2 op 30-04-2016 15:35 ]

@Hero of Time: Met alle respect, maar een antwoord als "verdiep je eens in TCP/IP dan snap je pas hoe het kan" slaat nergens op...
We weten beide hoe uitgebreid die materie is, dus iets specifieker is wenselijk. Begrijp me niet verkeerd, ik ben er volledig mee akkoord dat iemand zijn huiswerk moet maken alvorens vragen te komen stellen. Maar zo kan je op elke vraag reageren als "leer iets van bladiebla, dan weet je hoe het moet".
Daarnaast ben ik van mening om voldoende over TCP/IP te weten om hierover te kunnen meespreken. Alleen slaag ik er niet in jouw redenering in het plaatje te passen. Vandaar ook mijn bijkomende vraag om dat even te duiden, concreet aangevuld met de punten waar het voor mij niet meer rijmt. Het moge duidelijk zijn dat ik mij engageer om een technische discussie te voeren met het doel de dingen duidelijk te krijgen en al dan niet iets bij te leren.

Second, ik begrijp perfect hoe een proxy kan dienen voor providers die geen dataverbruik in rekening willen brengen voor bepaalde dienst of die verkeer als YouTube/Netflix extra willen knijpen.
Maar dat is m.i. niet hetzelfde principe als wat ik wil toepassen.

Nog even alles op een rijtje:
- In het geval bepaalde diensten geknepen of niet in rekening gebracht worden, zit je in het straatje dat één IP adres overeenkomt met één (proxy)user. Allemaal straight forward.
- In mijn geval heb ik twee "soorten" verkeer, afkomstig vanaf hetzelfde IP adres. De proxy is op geen enkele manier in staat om te weten welk verkeer afkomstig is van hetzij de service, hetzij de gebruiker. Er zijn dus twee (proxy)users die een source IP delen.
- Ter verduidelijking, die services kunnen ook http-verkeer genereren. Op TCP/IP niveau is er tussen de services en het gebruiker verkeer niet per se een onderscheid te maken. Het onderscheid zit hem enkel in de lokale user account, iets waar de proxy in de verste verte geen weet van heeft.

Dus nogmaals de vraag: kan je mij duiden hoe een proxy in staat is het verkeer, dat van een gemeenschappelijk IP komt, te scheiden? Hoe legt een proxy server de relatie tussen een bepaald inkomend packet en de rechten van de betreffende user?
Zover ik weet wordt het source verkeer niet gemarkeerd. Als dat toch het geval moest zijn, correct me...