J’ai écrit HTTP, pas HTTPS. On ne peut pas faire de proxy HTTPS transparent sans la complicité du poste client. Donc pour HTTPS, tant pis, tu bloques sur liste noire ou blanche.
C’est un peu plus performant car iptables voit directement l’adresse MAC des paquets reçus alors que squid doit utiliser le cache ARP pour retrouver l’adresse MAC correspondant à l’adresse IP du client, et iptables permet de ne pas faire intervenir squid du tout pour les adresses en liste blanche.