squid + iptables

Вообще-то для того, чтобы дать юзерам из локалки 3128 достаточно:
$IPTABLES -A INPUT -i eth_to_lan -p tcp -s 192.168.1.1/24 --dport 3128 -j ACCEPT
$IPTABLES -A OUTPUT -o eth_to_lan -p tcp -d 192.168.1.1/24 --sport 3128 -j ACCEPT
Дмитрий

Вообщето дропать все входящие пакеты это параноя. Лучше защитить нкужные, а все пропускать, тогда проблем меньше будет.

Да не такая уж паранойя, мне кажется так меньше шансов что-то забыть

2Дмитрий - Как я понял там еще куча портов ему нужна для работы (штук 5), кроме 3128, только не пойму, какие необходимы, а какие для рюшечек

Перед DENY дай -j LOG и смари что падает по каким портам etc. А потом играйся с ними.

Хотя вообще то то что сказал Дмитрий - достаточно. Для доступа к прокси. Не забывай что для доступа сквида к серверам тоже надо открыть дырочки.

Дропать все пакеты по умолчанию это не паранойя, а просто способ, чтоб случайно не оставить какую-нибудь дыру открытой.
Задавшему вопрос:
Сквиду по умолчанию ДЛЯ РАБОТЫ С КЛИЕНТОМ никакая куча портов не нужна, достаточно 3128.
А вот если у вас политика DROP INPUT,OUTPUT,FORWARD для ВСЕХ интерфейсов и нет больше никаких правил, то система в целом работать не будет, так как сам сквид в интернет на разные порты ходит, ДНС'ом пользуется и т.д.
Дмитрий