Não tem como mudar o passado. O squid normalmente não loga MACs, nem filtra MACs.
Minhas sugestões...
1. Usuário não pode ser administrador da máquina.
2. Usuário espertinho a gente pega sendo mais esperto que ele. Crie um filtro que associa cada IP ao MAC address certo. Isso pode funcionar até mesmo com DHCP, vc pode fazer com que associações feitas pelo servidor sejam automaticamente adicionadas (e removidas) da lista de associações permitidas.
3. Percebeu o defeito do proxy transparente, e da filtragem por endereço IP? Pois eu te aviso, mesmo que vc faça a filtragem por endereço MAC, coloque o usuário como não-administrador, nada impede que o usuário traga um notebook, instale nele uma máquina virtual, e clone o MAC Address de uma máquina autorizada pra burlar teu controle.
A solução é fazer autenticação no acesso à internet --- o que significa não usar mais proxy transparente.
Ah, claro; não esqueça de levar a questão ao seu superior, e ao superior da pessoa que está abusando do acesso, pois senão mais tarde podem questionar porque vc está dificultando o uso da conexão.