обманываю юзеров.. но есть же умные! помогите..

настрой ipchains соответствующим образом и спи спокойно.

ну я сделал проще
написал правило для ipchains типа
LOCALNET="192.168.5.0/24" - тут заменить на адрес твоей сети
ANY="0.0.0.0/0" - любые адреса
ipchains -A input -p tcp -s $LOCALNET -d $ANY 80 -j REDIRECT 3128
таким образом все что идет на http попадает на сквид, а там
режим пилим разрешаем запрещаем и ни одна глядь мимо не проползет.
у юзеров кстати таким образом не надо указывать чтоб браузер
использует прокси (тачка юзера должна знать только о шлюзе , который кстати можно указать в параметрах DHCP сервера и выдавать не всем
юзерам а только тем кто ползает в инет).

а во забыл если не будет пашать в сквиде.конф напиши
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

у меня еще апач на порту 8000 висит другим правилом я на него
трафик переправляю ,таким образом создается впечатление что
сквид и апач обо на одном порту

Предыдущиму написателю......... непойдет как ты говоришь......там не только глядь...там и человек не прйдет........говорят же тебе, у него ауторизация на сквиде, а транспонент прокси со свидовой ауторизацией не фурычит......... Так что, закрывай нафрен маскарадинг (а вообще с чего это ты взял что бы локальные машинки имели маскарадинг в инет ???? тебе что, головников мало???......... ) вот тогда то они и смогут ходить в инет только по сквиду........... И вообще, этот вопрос не в том разделе......тебе надо в форум админов , а не секьюрити.........