Этот ответ просто концепт и мое ИМХО. И, к сожалению, охватывает только ПК пользователей.
Судя из описания ситуации и отсутствия желания\возможности поднять АД у ТС, предлагаю следующую идею:
1) Заворачиваем 80й порт на некую локальную страницу (да на том же пфсенс). 443 порт блочим для LAN.
2) На страничке выкладываем краткое описание почему юзер на этой странице, а не разглядывает котиков.
3) На этой же страничке размещаем ссылку на bat-ничек или ps-ничек в котором мы прописываем в систему наш прокси и инструкцию (Скачайте, запустите, смотрите на котиков)
4) ...
5) PROFIT!
Да, это колхоз. Да это не полное решение (мобильные устройства). Но у уважаемого ТСа 150машин без АД - колхоз еще тот, ИМХО. И если предположить, что это одна организация, ладно не буду дальше развивать тему, ситуации и оснащение бывают разные, как и начальство. Другое дело, если это шлюз для БЦ эконом класса, и 150 машин - это 20-30 фирм. Очевидно, что внедрять АД не имеет никакого смысла, но так же не имеет смысла и ограничивать юзеров в посещаемых ими ресурсах (максимум шейпер канала по фирмам), т.к. задача предоставлять доступ.
P.S.: Это не глум или стеб над вопросом. Просто идея максимально бюджетно по времени, и в то же время эффективно (читай - радикально), решения для данного вопроса.
