вопрос по squid-у

Можешь, запрети порт 80. Или выключи маскарад - если позволяет настройка клиентов без него обойтись

Пользователя надо заставить ходить через прокси - надо сделать так, чтобы напрямую у него ничего не получалось
Для этого все дыры закрыть фаерволом
Если адреса реальные и данный комп маршрутизатор, то маршрутизировать только те сервисы, которые необходимо
Если адреса фейковые, то действительно, маскарадить только то, что нужно
А еще пользователя можно обмануть - сделать прозрачный прокси, то есть пакеты, которые идут на 80 порт перекидывать на порт 3128 (при этом сквид должен знать, что он прозрачный - у него есть такой параметр) - здесь надо поиграться с правилами форвардинга пакетов

а точнее можно. я заделал так: ipachains input -p tcp -d XX.XX.XX.XX/24 www -j ACCEPT ipachains input -p tcp -d 0/0 www -j REDIRECT 3128

у юзера настройки браузера - автоматом - коннектится. ставлю 3128 - коннектится

Если указать ipachains forward -p tcp -d 0/0 -s 192.168.162.1 -j MASQ и все. получится, что тока определенный адрес будет маскарадится, а остальные форвардится на сквид?

Точнее не знаю, на практике не работал с ipchains, но мне кажется, что маскарадить лучше не юзеров, а сервисы, а если таковых нет, то вообще NAT не использовать

а какой смысл маскарадить сервисы?

Точнее говоря юзеров совместно с сервисами, то есть, например, этому пользователю(группе) маскарадить порт А, другому(другим) - порт В
Смысл в контроле и анализе трафика

вот тут другое дело. спасибо. все понятно. частично. но будем ковырять