VS>> Задача другая: выпустить некоторые протоколы в Интернет (в VS>> частности https и pop3), доступа в Интернет из данной сети не VS>> имея даже через NAT. Есть только сквид в головной конторе.
SS> Hу, во-первых, в таком случае не обязателен прокси. Тут можно обойтись SS> прозрачным бридж-файерволлом, если сеть без NAT,
Видимо ты неправильно понял "сеть без NAT" :-) Это значит маршрутизации в Интернет нет никакой точка. Даже со шлюза. Потому что у меня выше написано "выхода нет *даже* через NAT".
SS> а далее pf'ом SS> фильтровать пакеты, в т.ч. запретить исходящие соединения на порты X, SS> Y и Z.
И так всё уже запрещено, доступ наружу только через сквид в головной конторе.