Nous avons longuement discuté ce point dans le forum "international" avec "Zent user".
Pour faire court: avec le proxy en mode transparent, il n'y a pas de solution satisfaisante.
Si ton critère principal est que le proxy soit en mode transparent et dans ce cas tu ne peux que implémenter des solutions de contournement via des règles de firewall (comme tu le remarques, ça ne marche pas bien et comme il y a de nombreuses adresses IP, c'est incomplet) ou via le DNS (beaucoup d'effets de bord là également) ou dans le fichier /etc/hosts du serveur.
Avec un proxy "explicite", c'est beaucoup plus simple car la règle que tu as mis en œuvre fonctionne aussi en HTTPS. La contrepartie, c'est qu'il faut soit paramétrer le proxy sur chaque poste client ou mettre en œuvre WPAD, ce que Zentyal ne fait pas par défaut. Si tu utilises des ports HTTP non standard, il se peut que tu doives également modifier la liste des "safe ports" dans la conf de Squid.
Et voila, c'est simple. A toi de faire ton choix maintenant