А в начале мы имеем роутер и сеть с проводным и беспроводным доступом, все же умеют заплетать провода? Естественно лучше запретить общаться им между собой, но как это реализовать щас рассматривать не будем, так как у всех свои игрушки и вариантом много. 

Попадая в сеть, пользователь не должен быть просто заблокирован. Иначе он не будет знать что ему делать и будет загнан в угол, поэтому банально deny all from all to all нам не подойдет. Поэтому надо всех неизвестных нам личностей перенаправлять на один сайт, где уже будут все инструкции и будет производиться авторизация.

Есть два варианта…
Первый, весь трафик прогонять через прокси и там уже разбираться кто друг, а кто враг и что кому отдавать в качестве ответа. Но при текущем положении дел, когда объем информации получаемый пользователем настолько огромен, а цены на безлимитные тарифы позволяют ими пользоваться даже юридическим лицам на хороших скоростях, то смысла в аккумулировании информации на своих носителях информации я не вижу. 

Поэтому я пошел вторым путем, а именно фаерволл решает кому куда идти. Вот как выглядит мое решение в ipfw.

Я использую ipnat. Поэтому в ipfw будут фигурировать правила на разрешения трафика идущего во внешнюю сеть, но не будет правил для заворота его, как в случаи с natd. Мы создаем таблицу пользователей которых будем выпускать во внешнюю сеть:

ipfw table 1 add 192.168.0.1
ipfw table 1 add 192.168.0.2

Дальше будет правило на разрешения трафика в интернет через внешний интерфейс rl1:

ipfw add allow ip from table\(1\) to any out via rl1 keep-state

Теперь все известные наши машины могут пользоваться интернетом. Однако новые клиенты просто получает сообщение об ошибке, что сервер не найден.

Для них у нас будет свое правило:

ipfw add fwd 127.0.0.1, 9832 ip from not table\(1\) to any out via rl1

Тем самым мы перенаправили весь трафик от неизвестных нам пользователей на порт 9832. А на нем мы повесим веб-сервер с нужной нам информацией.

Небольшое отступление: fwd заворачивает пакет на указанный адрес, но не модифицирует его. И если его завернуть на какой нить веб-сервер в сети, то тот его просто отбракует. Потому что адрес назначения не его. Отсюда вывод, что перехватить и обработать данные можно только локально.

Так как это не полноценный веб-сервер, то смысла вешать туда apache или ngnix не вижу. Я бы порекомендовал посмотреть в сторону microhttpd, minihttod или lighthttpd.

Сразу не забываем добавить правило для разрешения трафика внутри сети через интерфейс rl0:

ipfw add allow ip from 192.168.0.0/24 to 192.168.0.0/24 via rl0

или лучше открыть только то, что Вам необходимо в работе:

ipfw add allow tcp from 192.168.0.0/24 to me 9832 in via rl0 keep-state

Я поставил, как самый простой и удобный, в данном случаи, сервис — micro_httpd.
Ставим из портов:

cd /usr/ports/www/micro_httpd
make install clean

Так это просто бинарник, а не демон, то он не висит в памяти и ничего не занимает. При запросе на определенный порт inetd вызывает его с параметром, он обрабатывает данные и возвращает результат.
Настраиваем inetd, дописывая следующее в /etc/inetd.conf (одной строкой):

micro_http stream tcp nowait nobody /usr/local/sbin/micro_httpd micro_httpd /var/www #micro_httpd

где /var/www — путь к корневой папке веб-сервера.
Еще добавим инфу в /ets/services:

micro_httpd 9832/tcp #micro_httpd

тут 9832 — порт на котором веб-сервер висит.
В /var/www кладем index.html с нужным нам содержимым.
Перезапускаем Inetd или перезагружаем сервер и проверяем.