o mais simples...

iptables -t nat -A POSTROUTING -p tcp --dport 80 -j MASQUERADE

mascara apenas a porta 80 ...

talvez nem precisa do mascaramento.. se voce fizer proxy transparente...

tenta assim:

iptablest -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128

onde 192.168.0.1 eh seu servidor proxy e 3128 eh a porta

e DEIXE sem o MASQUERADE.. e faça um teste...

assim.. todo mundo acessa WEB... mas tudo que nao for web.. fica bloqueado..

MAS skype e msn consegue usar a porta 80 para funcionarem... ai precisa fazer um bloqueio usando o modulo STRING/MATCH do iptables..