athacker

Строго говоря, Squid умеет всё делать сам. Там есть AD аутентификация, списки фильтрации и т. п. Чем не устроил встроенный функционал Squid'a?

В конфиге сквида параметр tcp_outgoing_address.

Конфиг сквида процитируйте.

Как я уже сказал выше, перепишите ACL's следующим образом:

acl badboys src 192.168.0.233-192.168.0.254/24
acl localnet src 192.168.0.2-192.168.0.232/24

deny badboys в конфиге поставьте ПЕРЕД allow localnet.

И ещё -- вы сквид не забываете релоадить, после того, как конфиг меняете? :-)

Минусы -- неродная для сквида платформа, поэтому приключения могут быть непредсказуемы. Плюсов -- в общем-то, нет.

У вас группа "Администраторы домена" на русском, и к тому же, состоит из двух слов. Поэтому для начала возьмите название группы в кавычки:

cache_effective_group "Администраторы домена"

Если и это не поможет -- копайте в районе кодировок. В конфиге будет одна кодировка, а у контроллера домена может быть совсем другая.

Трафик-то от клиентов прилетает на эту машину? :-)

Правильно товарищ выше заметил -- у вас шлюз по умолчанию, указанный в настройках -- из другой подсети. Это косяк. Оно может быть не связано с вашей проблемой, а может и связано. Т.е. на этой машине со сквидом -- интернет работать не будет. Хотя в винде такая фишка прокатывает в некоторых специфических условиях, но насчёт линуха я не уверен. На фре точно не прокатывает.

Файрвол понятия не имеет, откуда сквид взял объект -- из кэша или из интернета скачал. И никогда это не узнает -- у него нет таких механизмов.

Если хотите, чтобы из кэша объекты отдавались быстро -- настраивайте ограничение скорости на delay pools в сквиде. И только для тех пользователей, которые не пользуются сквидом, ограничивайте скорость файрволом.

Ну, тот же совет -- отключите в конфиге файрвола пока NAT и разберитесь со сквидом.

А с чего вы решили, что у вас HTTPS вообще через squid проходит? В файрволе у вас заворот только обращений на 80-ый порт, а не 443, по которому работает HTTPS. Получается, что 80-ый порт у вас (теоретически) заворачивается на squid, а 443-ый -- проходит мимо, и берёт интернет откуда-то ещё :-)

Ну и кроме того, tcp from ANY to any 80 -- это косяк вооот такого размера. Правильнее писать:

add fwd 127.0.0.1, 3128 tcp from 10.0.0.0/24 to any 80 in via em1 keep-state

Вот это будет другой разговор. Предполагается, что подсеть вашей локалки -- 10.0.0.0/24, и интерфейс, на котором поднят адрес из этой подсети -- em1

Но это предположения исходя из неполных данных. А вообще, покажите результат ifconfig и полные конфиги ipfw и squid.