>и что мешает поставить проверку IP выше правил авторизации?
>acl ips src 192.168.0.2 192.168.0.101-192.168.0.200
>http_access deny all ! ips Спасибо! Такое исключение адресов из запрета действительно работает как нужно - тачки из домена можно принудительно закрыть, если задать их в "http_access deny all ! ips". Если в редиректоре они не помещены в правила, разрешающие интернет, то попадают в бан по-умолчанию. Если в squidGuard'e разрешить доступ, то фильтры контента работают.
Без указания машины в "http_access deny all ! ips" прокси просит аутентификации.
Вроде не сложно, а сам не допер. Спасибо еще раз!