Вроде сочинил вроде работает, выкладываю рабочий конфиг, iptables как в первом посте
конфиг взят отсюда http://www.lissyara.su/articles/freebsd/programms/squid+ad/
# порт где слушаем
http_port 192.168.0.7:3128
http_port 192.168.0.7:3129 # себе любимому чтоб всё ходило
http_port 192.168.0.7:3127 intercept
acl adminport myport 3129 # себе любимому чтоб всё ходило
http_access allow adminport # себе любимому чтоб всё ходило
acl mp myport 3128
acl mptr myport 3127
# список слов, которые будучи обнаруженными в URL
# вызывают обработку без кэширования
hierarchy_stoplist cgi-bin ?
# список ACL которые вызывают несовпадение с кэшем,
# и, запрос с ответом кэшироваться не будут
acl QUERY urlpath_regex cgi-bin \?
# собственно - правило что не кэшируем
no_cache deny QUERY
# сколько отдаём ему памяти (реально пожрёт втрое больше)
cache_mem 1024 MB
# Директория для кэша, числа - размер кэша в Mb,
# число директорий первого уровня, число директорий второго
# уровня в каждой директории первого.
# cache_dir ufs /var/spool/squid 50000 64 512
# cache_dir ufs /var/spool/squid 2048 16 256
# лог доступа - первый параметр путь, второй - формат
# форматы описаны в дефолтовом файле.
# access_log /var/log/squid/access.log squid
# лог активности менеджера хранилища. Показывает, какие
# объекты были сохранениы/удалены из кэша и как долго.
# мне он не нужен, а места занимает прилично.
cache_store_log none
# файл hosts, проверяемый при запуске. Из него берётся
# доменное имя и добавляется к неполным адресам (которые
# не содержат ни одной точки в имени)
hosts_file /etc/hosts
# домен добавляемый к неполным именам
append_domain .contozo
# директория где хранятся HTML c текстами ошибок
# error_directory /etc/squid/errors/Russian-1251
# программа редиректор (у меня сквидгард) для более простой
# и тонкой настройки правил использования инета
#redirect_program /usr/local/bin/squidGuard -c \
# /usr/local/etc/squid/squidguard.conf
# число процессов редиректора
#redirect_children 20
#cache_log /usr/local/squid/logs/cache.log
#debug_options ALL,5
# авторизация
# нативная авторизация ослика
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
# число детишек для авторизации - сколько процессов запускать
auth_param ntlm children 50
# базовая авторизация для тех, кто не может нативную (я, например,
# т.к. сижу из под FreeBSD, да и многие программы - например,
# родной ICQ клиент от AOL)
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
# Число процессов для базовой аворизации - значительно меньше
# чем для основной, т.к. таких юзеров/программ немного
auth_param basic children 50
# Заголовок окна выводимяй при запросе авторизации
auth_param basic realm Squid proxy-caching web server
# время жизни авторизации - сколько кэшировать данные
# (для базовой авторизации)
auth_param basic credentialsttl 2 hours
#refresh_pattern ^ftp: &n... 1440 20% 10080
#refresh_pattern ^gopher: 1440 0% 1440
#refresh_pattern . 0 20% 4320
# внешняя ACL для разруливания по группам
external_acl_type nt_group %LOGIN /usr/lib/squid/wbinfo_group.pl
# пользователи у которых просто интернет - с ограничениями
acl inet_users external nt_group DZS\inet_users
# пользователи у которых есть тока аська
# acl inet_icq external nt_group inet_icq
# пользователи с полными парвами на доступ в инет
acl inet_full external nt_group DZS\fullInet
# люди с доступом к серверу аналитики
# acl inet_analit external nt_group inet_analit
# пользователи с ограниченным доступом в инет - тока
# определённый набор ресурсов и всё.
# acl inet_restrict external nt_group inet_restrict
# Пользователи которым разрешён метод CONNECT
# acl inet_connect external nt_group inet_connect
# ACL авторизации на проксе
acl MYDOMAIN proxy_auth REQUIRED
# Описываем порты на которые разрешено лазить
acl SSL_ports port 443 563
acl SSL_for_client_banks port 910 8443 4500
# порты на которе можно ходить юзерам
acl safe_ports port 80 # http
acl safe_ports port 21 # ftp
acl safe_ports port 443 # ssl
acl ICQ_ports port 5190 # ICQ
# надо ли? 1025-65535
acl CONNECT method CONNECT
# для /usr/ports/www/sqstat/
# копируете конфиг, ставите вместо 'host' - 'user'
# и начальство не оторвать от экрана :))
acl manager proto cache_object
# Описываем все сети все IP
acl all src all
# описываем локалхост
acl localhost src 127.0.0.1/255.255.255.255
# acl до сайтов которые разрешены всем]
acl mydomain_site dstdomain "/etc/squid/db/allow_all.txt"
# запрещённые в URL выражения (для всего УРЛа)
acl bad_url url_regex "/etc/squid/db/deny_url.txt"
# запрещённые в URL выражения (для самого урла, без домена)
#acl bad_url_2 urlpath_regex \
# "/etc/squid/db/deny_url_2.txt"
# запрещённые доменные имена
acl deny_domains dstdomain "/etc/squid/db/deny_domains.txt"
# acl для клиент-банков и прочих кому надо напрямую ходить
acl client_banks dst "/etc/squid/db/clinet_banks.txt"
# сети в которые ходить не надо (ICQ и прочия)
acl bad_networks dst "/etc/squid/db/bad_networks.txt"
# те кто ходят без авторизации
acl not_autorized src "/etc/squid/db/not_autorized.txt"
# список сайтов для тех у кого их определённый набор
acl domains_for_restrict dstdomain "/etc/squid/db/domains_for_restrict.txt"
acl localnet src 192.168.0.0/24
# http_access allow localhost
# http_access allow localnet localhost
# http_access allow localnet
# http_access allow mptr localnet
### настройки доступа ####
# вводим свои определения для сообщений о
# отказе по ACL - пригодиться когда кто-то
# воет что не может попасть на определённый сайт
# deny_info ERR_BAD_URL bad_url
# deny_info ERR_BAD_NETWORKS bad_networks
# deny_info ERR_DENY_DOMAINS deny_domains
# deny_info ERR_SAFE_PORTS safe_ports
# deny_info ERR_SSL_PORTS SSL_ports
# пропускаем sqstat
http_access allow manager localhost
http_access deny manager
# http_access allow all
# выпускаем на неавторизуемые сайты
http_access allow client_banks
# выпускаем тех кто не авторизуется в принципе
# т.к. они не в домене и т.п.
http_access allow not_autorized
# Разрешаем всем доступ на сайт конторы
# Этим же правилом срубаются все неавторизованные
http_access allow MYDOMAIN mydomain_site
http_access allow mydomain_site
# Разрешаем доступ ко всему группе 'inet_full'
http_access allow inet_full all
# Зарубаем запрещённые куски url
http_access deny bad_url
# Разрешаем асечный порт тем у кого есть аська
# http_access allow inet_icq ICQ_ports
# зарубаем запрещённые сети
http_access deny bad_networks
# зарубаем запрещённые домены
http_access deny deny_domains
# Зарубаем коннект кроме как к SSL (надо ли группе отдельной?)
http_access deny CONNECT !SSL_ports
# зарубаем все порты проме safe_ports
http_access deny !safe_ports
# разрешаем инет обычным пользователям
http_access allow inet_users
# разрешаем инет ограниченным пользователям на разрешённые сайты
# http_access allow inet_restrict domains_for_restrict
acl stop_files url_regex -i ftp (\.com\.exe|\.mpa|\.mp3|\.wma|\.swf|\.m3u|\.avi|\.mpg|\.mpeg|\.wmv|\.wav|\.asf)
acl audio_t rep_mime_type content-type audio
acl video_t rep_mime_type content-type video
acl video_t rep_mime_type content-type application/x-shockwave-flash
acl video_t rep_mime_type content-type application/octet-stream
http_reply_access deny audio_t !inet_full
http_reply_access deny video_t !inet_full
http_reply_access deny stop_files !inet_full
acl nobanners src all
acl banners url_regex "/usr/local/squid/etc/banners.acl"
http_access deny nobanners banners
deny_info http://your.site/empty.gif banners
#-------------------------------------------------------------------------------+
#----------------------------------------------------------------------------------
# Конец управляемых настроек
# зарубаем всё нах :)
# Для начала кустомизируем сообщение о ошибке.
# ERR_INET_NO_ALLOW - это имя файла в
# /usr/local/etc/squid/errors/Russian-1251
# синтаксис описан
# http://wiki.squid-cache.org/SquidFaq/MiscFeatures
# deny_info ERR_INET_NO_ALLOW all
http_access allow localnet
http_access deny all
Вариант для распечатки
