Isso amigo...
A política padrão da CHAIN FORWARD precisa estar em DROP
Pois de outra forma ele aceitará os pacotes e o trafego estará saindo pelo firewall...
E é sempre bom você verificar os logs do squid para ter certeza que os acessos estão sendo feitos por la!