Ne te méprends pas sur le sens de ma réponse. L’approche avec proxy ARP que tu as suggérée n’est pas plus moche que l’approche avec pontage que l’OP a mise en oeuvre. Il est probable qu’elle est un peu plus délicate à mettre en place, mais au niveau fonctionnel, ce n’est pas pire.
Je ne déteste pas plus le masquerading que le NAT, le masquerading n’étant qu’une forme de NAT parmi d’autres, avec les mêmes inconvénients. Quelle que soit l’approche, un proxy transparent avec squid a besoin d’une redirection NAT. Or le NAT classique sur un routeur, avec proxy ARP ou pas, c’est déjà pas terrible, mais sur un pont ethernet c’est bien pire : en plus de modifier l’adresse IP et/ou le port destination, il faut aussi modifier l’adresse MAC destination de la trame, ce qui implique de faire une requête ARP pour trouver l’adresse MAC correspondant à la nouvelle adresse de destination.
Je ne conteste pas qu’on n’a pas le choix, mais ça ne m’empêche pas de dire que c’est moche. C’est comme pour utiliser l’IPv6 de Free derrière un routeur : on doit soit ponter l’IPv6 soit faire du proxy ND. On n’a pas d’autre choix, mais c’est moche car ce n’est pas un fonctionnement normal.