Раз у вас есть различные группы пользователей, которым положены свои шейперы и отдельные пользователи с другими персональными шейперами, а так же отдельно взятый начальник - любитель порнушки
,то ваша система уже требует какой-то способ аутентификации пользователей.
Squid вы отбросили, хорошо.
Но я так понимаю, что сейчас у вас аутентификации как таковой вообще нет. Точнее есть по ip ну и возможно по mac, равно что её и нету вовсе
Порекомендую вам поднять pppoe сервер, завести пользователей с персональными логинами и паролями,и резать шейперами ни на отдельно взятые адреса или подсети, а на ppp устройства. Читайте man tc.
В первую очередь про tc qdisc tbf и tc qdisc ingress
tc -TraficControl очень мощная штука, с помощью нее можно не только шейпировать как входящий так и исходящий трафик, но например поднять модель QoS и классифицировать ваш трафик. Например задать более высокий приоритет VOIP трафику и минимальный torrent трафику