Como o Zentyal faz quase tudo automaticamente eu pensei que ao ativar o squid com proxy ele já redirecionaria a porta 80 para a 3128.
Penei um bocado para impedir a navegação sem proxy nos clientes mas só consegui quando encontrei essa dica do Vinícius:
=====
Acho q encontrei, eu usei a opção "redirecionamento de porta" em firewall, ficou assim:
interface: eth2 destino original: Zentyal Porta de destino original: qualquer Protocolo: TCP/UDP Origem: qualquer Porta: 3128 Log (x)
aparentemente deu certo, a interface em questão só navegou passando pelo proxy.
=====
Beleza, agora os clientes somente navegam se habilitarem o proxy no navegador.
Apenas adicionei o IP do servidor da rede interna, pois a versão 2.2.1 exige um IP.
Valeu Vinícius!