1) Pelo que eu li, o único modo que suporta https é em Reverseproxy, que não serve para prover navegação a uma rede interna, e sim para com um único ip real divulgar na internet sites Hospedados em diferentes servidores na rede interna.
Ex hipotetico:
Na empresa temos um servidor que roda squid em mode Reverse proxy e esse tem o ip 200.200.200.200 como seu ip de internet e o ip 192.168.3.1 como seu ip lan.
Na rede interna temos 3 sites em 3 servidores distintos, site1, site1 e site 3 com os respectivos ips 192.168.3.11, 192.168.3.12 e 192.168.3.13
O host name "www.reverseproxy.com.br" aponta para o ip 200.200.200.200
Quando alguém na internet tentar entrar no site
www.reverseproxy.com.br/site1 o servidor com squid(200.200.200.200) que receberá esse pedido, por sua vês baseando-se no "/site1" irá pedir o index do site1 para o ip 192.168.3.11 de sua rede interna e devolver sua saida para quem o requisitou na internet, e assim para os outros sites site2 e site3.
O proprio apache também também tem um modulo para configurar reverse proxy.
Isso não serve para seu caso, mas já vale conhecer essa solução pois é muito útil tbm.
2)Não cairá não, vc tem de colocar regras no seu iptables dando um ACCEPT da sua rede interna à internet para todos os ips dos sites de bancos e outros sites autorizados que utilizam https(443), e logo em seguida colocar uma regra DROP ou REJECT em todo o trafego https(443) da sua rede interna com destino a internet.
O iptables funciona por pilha, em oredem de cima para baixo, então em uma politica restritiva voce tem de colocar os ACCEPTS antes, que são as exceções e em seguida um DROP geral na 443, que será a politica, ou seja, se um pedido não se encaixar nas exceções ele vai cair na politica e será dropado. sacou?
Dessa forma só os sites que vc quer serão acessados, os outros vão cair na plitica drop.
Abraços e se precisar de mais ajuda não hesite em pedir.
Abraços!