Mise en place d'un proxy

Bonjour,
Je suis stagiaire dans une association ; celle-ci vient de contracter un réseau vpn (mpls) avec sfr (16 sites).
L’asso voudrait mettre en place un filtrage d’url car de nombreux abus ont été constatés, et c’est à moi qu’incombe cette mise en œuvre
Je pense mettre en place le couple squid/squiguard au siège de l’asso (+ 70 salariés).
Les postes ne doivent pas avoir accès au surf sans passer par le proxy.
Le réseau du siège fonctionne sous smb3, donc pas de gestion des gpo au niveau de samba pour une configuration auto du proxy.
Ma première idée était de faire au niveau de la passerelle une redirection de http, vers le port du proxy qui fonctionnerait en mode transparent, mais je n’ai malheureusement pas la main sur les routeurs.
Je ne vois pas d’autres solutions sinon d’empêcher la configuration proxy des navigateurs, mais je trouve ca un peu lourd quand même.
Un pont filtrant entre le routeur et le lan ferait-t ‘il l’affaire ?
Est-il possible de configurer sur un pont réseau une régle nat de type iptables ?
Je voudrais garder la même plage IP au niveau du siège (patte du routeur et réseau).

routeur(192.168.0.1)<---------------------->pont (eth1 - br0 - eth2)--------------->lan( 192.168.0.0/24)
Proxy : 192.168.0.5

Merci beaucoup de votre aide.

J’ai décidé finalement de créer un pont filtrant entre le lan et le routeur.

brctl addbr br0
brctl addif br0 eth0
brctl addif br0 eth1
ifconfig eth0 0.0.0.0
ifconfig eth1 0.0.0.0
ifconfig br0 192.168.0.12 netmask 255.255.255.0 broadcast 192.168.0.255

Au lieu de faire une règle de redirection de port, je préfère bloquer le port 80 pour le lan, et n’autoriser que le proxy.
je configure les règles suivantes :

#! /bin/sh
iptables -F
iptables -X

PROXY="192.168.0.5/255.255.225.0";

iptables -F FORWARD
iptables -P FORWARD DROP
iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT

Le proxy ne veut pas sortir ?
Ai-je commis une erreur quelque part ?

Qu’entends-tu exactement par “le proxy ne veut pas sortir” ?
Le contenu de la variable $PROXY est incorrect. C’est une adresse d’hôte et non un préfixe, il n’y a donc pas besoin de masque.
Le proxy a besoin de faire des requêtes DNS pour résoudre le nom des serveurs servant les sites demandés. Cela passe par le port UDP 53, ce que tes règles n’autorisent pas.
Accessoirement, autoriser tous les ports TCP au proxy me paraît un peu laxiste.

PS : -s ou -d 0.0.0.0/0 n’apporte rien et nuit à la lisibilité en alourdissant les règles.