Вроде сочинил вроде работает, выкладываю рабочий конфиг, iptables как в первом посте
конфиг взят отсюда http://www.lissyara.su/articles/freebsd/programms/squid+ad/

# порт где слушаем
http_port 192.168.0.7:3128
http_port 192.168.0.7:3129 # себе любимому чтоб всё ходило
http_port 192.168.0.7:3127 intercept

acl adminport myport 3129 # себе любимому чтоб всё ходило
http_access allow adminport # себе любимому чтоб всё ходило

acl mp myport 3128
acl mptr myport 3127

# список слов, которые будучи обнаруженными в URL
# вызывают обработку без кэширования
hierarchy_stoplist cgi-bin ?

# список ACL которые вызывают несовпадение с кэшем,
# и, запрос с ответом кэшироваться не будут
acl QUERY urlpath_regex cgi-bin \?

# собственно - правило что не кэшируем
no_cache deny QUERY

# сколько отдаём ему памяти (реально пожрёт втрое больше)
  cache_mem 1024 MB

# Директория для кэша, числа - размер кэша в Mb,
# число директорий первого уровня, число директорий второго
# уровня в каждой директории первого.
# cache_dir ufs /var/spool/squid 50000 64 512
# cache_dir ufs /var/spool/squid 2048 16 256

# лог доступа - первый параметр путь, второй - формат
# форматы описаны в дефолтовом файле.
# access_log /var/log/squid/access.log squid

# лог активности менеджера хранилища. Показывает, какие
# объекты были сохранениы/удалены из кэша и как долго.
# мне он не нужен, а места занимает прилично.
cache_store_log none

# файл hosts, проверяемый при запуске. Из него берётся
# доменное имя и добавляется к неполным адресам (которые
# не содержат ни одной точки в имени)
hosts_file /etc/hosts

# домен добавляемый к неполным именам
append_domain .contozo

# директория где хранятся HTML c текстами ошибок
# error_directory /etc/squid/errors/Russian-1251

# программа редиректор (у меня сквидгард) для более простой
# и тонкой настройки правил использования инета
#redirect_program /usr/local/bin/squidGuard -c \
#       /usr/local/etc/squid/squidguard.conf
# число процессов редиректора
#redirect_children 20

#cache_log /usr/local/squid/logs/cache.log
#debug_options ALL,5

# авторизация
# нативная авторизация ослика
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

# число детишек для авторизации - сколько процессов запускать
auth_param ntlm children 50

# базовая авторизация для тех, кто не может нативную (я, например,
# т.к. сижу из под FreeBSD, да и многие программы - например,
# родной ICQ клиент от AOL)
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic

# Число процессов для базовой аворизации - значительно меньше
# чем для основной, т.к. таких юзеров/программ немного
auth_param basic children 50

# Заголовок окна выводимяй при запросе авторизации
auth_param basic realm Squid proxy-caching web server

# время жизни авторизации - сколько кэшировать данные
# (для базовой авторизации)
auth_param basic credentialsttl 2 hours

#refresh_pattern ^ftp:         &n... 1440    20%     10080
#refresh_pattern ^gopher:        1440    0%      1440
#refresh_pattern .               0       20%     4320

# внешняя ACL для разруливания по группам
external_acl_type nt_group %LOGIN /usr/lib/squid/wbinfo_group.pl

# пользователи у которых просто интернет - с ограничениями
acl inet_users external nt_group DZS\inet_users

# пользователи у которых есть тока аська
# acl inet_icq external nt_group inet_icq

# пользователи с полными парвами на доступ в инет
acl inet_full external nt_group DZS\fullInet

# люди с доступом к серверу аналитики
# acl inet_analit external nt_group inet_analit

# пользователи с ограниченным доступом в инет - тока
# определённый набор ресурсов и всё.
# acl inet_restrict external nt_group inet_restrict

# Пользователи которым разрешён метод CONNECT
# acl inet_connect external nt_group inet_connect

# ACL авторизации на проксе
acl MYDOMAIN proxy_auth REQUIRED

# Описываем порты на которые разрешено лазить
acl SSL_ports port 443 563
acl SSL_for_client_banks port    910 8443 4500

# порты на которе можно ходить юзерам
acl safe_ports port 80 # http
acl safe_ports port 21    # ftp
acl safe_ports port 443     # ssl
acl ICQ_ports  port 5190    # ICQ

# надо ли? 1025-65535
acl CONNECT method  CONNECT

# для /usr/ports/www/sqstat/
# копируете конфиг, ставите вместо 'host' - 'user'
# и начальство не оторвать от экрана :))
acl manager proto cache_object

# Описываем все сети все IP
acl all src all

# описываем локалхост
acl localhost src 127.0.0.1/255.255.255.255

# acl до сайтов которые разрешены всем]
acl mydomain_site dstdomain "/etc/squid/db/allow_all.txt"

# запрещённые в URL выражения (для всего УРЛа)
acl bad_url url_regex "/etc/squid/db/deny_url.txt"

# запрещённые в URL выражения (для самого урла, без домена)
#acl   bad_url_2       urlpath_regex   \
#       "/etc/squid/db/deny_url_2.txt"
# запрещённые доменные имена
acl deny_domains dstdomain "/etc/squid/db/deny_domains.txt"

# acl для клиент-банков и прочих кому надо напрямую ходить
acl client_banks dst "/etc/squid/db/clinet_banks.txt"

# сети в которые ходить не надо (ICQ и прочия)
acl bad_networks dst "/etc/squid/db/bad_networks.txt"

# те кто ходят без авторизации
acl not_autorized src "/etc/squid/db/not_autorized.txt"

# список сайтов для тех у кого их определённый набор
acl domains_for_restrict dstdomain "/etc/squid/db/domains_for_restrict.txt"

acl localnet src 192.168.0.0/24
# http_access allow localhost
# http_access allow localnet localhost
# http_access allow localnet
# http_access allow mptr localnet

### настройки доступа ####

# вводим свои определения для сообщений о
# отказе по ACL - пригодиться когда кто-то
# воет что не может попасть на определённый сайт
# deny_info ERR_BAD_URL bad_url
# deny_info ERR_BAD_NETWORKS bad_networks
# deny_info ERR_DENY_DOMAINS deny_domains
# deny_info ERR_SAFE_PORTS safe_ports
# deny_info ERR_SSL_PORTS SSL_ports

# пропускаем sqstat
http_access allow manager localhost
http_access deny manager

# http_access allow all

# выпускаем на неавторизуемые сайты
http_access allow client_banks

# выпускаем тех кто не авторизуется в принципе
# т.к. они не в домене и т.п.
http_access allow not_autorized

# Разрешаем всем доступ на сайт конторы
# Этим же правилом срубаются все неавторизованные
http_access allow MYDOMAIN mydomain_site
http_access allow mydomain_site

# Разрешаем доступ ко всему группе 'inet_full'
http_access allow inet_full all

# Зарубаем запрещённые куски url
http_access deny bad_url

# Разрешаем асечный порт тем у кого есть аська
# http_access allow inet_icq ICQ_ports

# зарубаем запрещённые сети
http_access deny bad_networks

# зарубаем запрещённые домены
http_access deny deny_domains

# Зарубаем коннект кроме как к SSL (надо ли группе отдельной?)
http_access deny CONNECT !SSL_ports

# зарубаем все порты проме safe_ports
http_access deny !safe_ports

# разрешаем инет обычным пользователям
http_access allow inet_users

# разрешаем инет ограниченным пользователям на разрешённые сайты
# http_access     allow   inet_restrict   domains_for_restrict

acl stop_files url_regex -i ftp (\.com\.exe|\.mpa|\.mp3|\.wma|\.swf|\.m3u|\.avi|\.mpg|\.mpeg|\.wmv|\.wav|\.asf)
acl audio_t rep_mime_type content-type audio
acl video_t rep_mime_type content-type video
acl video_t rep_mime_type content-type application/x-shockwave-flash
acl video_t rep_mime_type content-type application/octet-stream

http_reply_access deny audio_t !inet_full
http_reply_access deny video_t !inet_full
http_reply_access deny stop_files !inet_full

acl nobanners src all
acl banners url_regex "/usr/local/squid/etc/banners.acl"
http_access deny nobanners banners
deny_info http://your.site/empty.gif banners

#-------------------------------------------------------------------------------+

#----------------------------------------------------------------------------------

# Конец управляемых настроек
# зарубаем всё нах :)
# Для начала кустомизируем сообщение о ошибке.
# ERR_INET_NO_ALLOW - это имя файла в
# /usr/local/etc/squid/errors/Russian-1251
# синтаксис описан
# http://wiki.squid-cache.org/SquidFaq/MiscFeatures
# deny_info       ERR_INET_NO_ALLOW       all
http_access allow localnet
http_access deny all