Proxy Transparente e autenticado

Como montar um proxy transparente e autenticado corretamente. Tenho um proxy que funfo assim:

compartilho via nat a eth0, eth1 e a rede local.
Neste mesmo server tenho o squid autenticando.

Assim as estações da rede recebem o gw da eth0 que esta compartilhada.
No iptables tenho a regra que direciona tudo para da porta 80 para a 3128.

Será esta a maneira correta ? Ou e melhor colocar um server so para getway ?

Estou com essas dúvidas depois de ler alguns artigos. Tem como colocar o squid em outra maquina ? Ou ele deve funcionar na maquina que compartilha?

Para que serve mesmo um servidor de GW ?

Quem puder esclarecer, agradeço.