关于SQUID+IPCHAINS下的MSN等问题

neeman

我想以SQUID做代理，想达到以下目的：
内网部分用户可以无限制上网，其他只能访问开放的站点，而后者中部分用户又可能使用到FTP、TELNET等等应用，同时所有用户都可以使用MSN和YAHOO MESSENGER等。目前前面的两个目的已经实现，但是最后一个如何做至今没搞明白。

开放部分IP使用透明代理的使用MSN和YAHOO就没问题，但是如果没允许IP FORWARD的则不可以，这部分用户又该如何做呢，有无什么解决办法？

ipchains的配置如下：
:input ACCEPT
:forward DENY
utput ACCEPT

-A input -i lo -j ACCEPT
-A input -p tcp -s 192.168.0.0/16 -d 0.0.0.0/0 80 -i eth0 -j REDIRECT 3218
-A input -s ! 192.168.0.0/16 -d 0.0.0.0/0 -i eth0 -j DENY
-A forward -s 192.168.1.0/24 -d 0.0.0.0/0.0.0.0 -i eth1 -j MASQ

其中开放的如192.168.1段的IP则可以使用MSN等，其他的则不行。是不是必须开放IP forward才可以达到这个目的啊？我已经试了好多天了，还是没结果，大虾请支着吧，先行谢过！THX