Es _kann_ _jeder_ kommen und sich am Accesspoint anzumelden versuchen! Die Frage ist nur, wie weit er dann kommt. Bis zm Accesspoint hat er nur einen Login (auf welcher Basis auch immer, Du hast z.B. eine Webserver laufen und bedienst per Browser). Da steht er nun und kommt aber nicht weiter, wenn er die Zauberworte nicht kennt. Login failed, keine IP. Da Du aber per Browser das Login machen möchtest, brauchst Du einen Webserver und damit auch eine IP für den Clienten. Auch kein Problem, dann verfällt die IP eben wieder, wenn das Login verfehlt wurde (Vorsicht: Gefahr von (D)DoS!).
Das Login schaltet dann nicht die IP frei, sondern den Zugang. Das ist aber alles etwas fummelig, warum nutzt Du kein Protokol, das die IP erst zuweist, wenn das Login erfolgreich ist? Wenn ich mich bei meinem Provier einwähle, geht das doch auch? Gut, ob PPP (RFC 1661, siehe http://www.linux-magazin.de/Service/Books/Buecher/Netzwerk/netz0808.htm für den Client und http://www.linux-magazin.de/Service/Books/Buecher/Netzwerk/netz0810.htm ff. für den Serverbetrieb. Das ganze Buch ist übrigens zu empfehlen, vor allem wegen des Preises ;-) das richtige Protokol für Deine Zwecke ist, weiß ich nicht, wäre aber eine Möglichkeit.

Das klingt alles ziemlich einleutend. Leider ist es anders gewünscht. Es gibt ein Wlan, in dem alle, die sich darin bewegen, eine Ip per Dhcp zugewiesen bekommen. Das ist auch alles schön. Die können da unter sich in ihrem Netz tun und lassen was sie wollen. Aber nur da.
Wenn jetzt einer ins Internet will, dann soll festgestellt werden, ob er es darf. Er muss dann ein Netz weiter durch eine Firewall. Irgendwie muss ja dieser Firewall gesagt werden: Hallo ich habe gültige Benutzerdaten und möchte mit meiner IP (die ich hier im Wlan benutze) durch dich ins Internet.

Das ist gewünscht. Vielleicht habe ich es vorher etwas umständlcih beschrieben.

Viele Grüße
Tobias