Bien sûr, on ne parle pas ici de proxy en mode transparent parce que dans ce cas, c'est trivial mais le mode transparent du proxy présente de gros inconvénients.
La réponse n'est pas dans WPAD mais éventuellement dans la gestion des exceptions:
WPAD n'est que le moyen d'automatiser la découverte du proxy
si ton proxy est "avant" le portail captif, tu as compris que ça ne marche pas car le premier qui accède à un site va faire déclencher la règle qui va autoriser le proxy à traverser le FW... pour tous les utilisateurs du proxy.
si ton proxy est "après" ton portail captif, alors ça ne marche pas car tu n'atteindras pas le proxy tant que le portail captif n'aura pas autorisé le flux... sauf si tu définis, manuellement au niveau du browser ou du proxy.pac une exception qui dit au browser que pour accéder à certaines pages, il faut y aller sans passer par le proxy.
Mais ça impose bien sûr à l'utilisateur d'accéder "manuellement" à cette page avant de naviguer sur internet via le proxy une fois les flux autorisés.
A partir de là, en en accédant à cette page "autorisée" tu vas y aller en direct, être intercepté par le portail captif qui va autoriser ensuite les flux venant de ton IP, y compris vers le proxy.
Ce n'est pas aussi sexy qu'un mode "tout automatique" et transparent.
Mais quel est l'usage de ce portail captif ? D'informer les utilisateurs de manière obligatoire ou bien de les authentifier ?