da die gaeste ja sicher nur surfen sollen
wuerde ich einen proxy in einer VM vorschlagen der in einem eigenem subnetz liegt mit dhcp usw
und halt nur den proxy(web) port offen lassen so ist die betriebsinfrastrucktur außen vor
zumal kann man den DNS ueberwachen/kontrollieren/loggen und mann kann die bandbreite kontrollieren