Valiney, é interessante estudar a ferramenta antes de abondana-la.
O Squid faz perfeitamente o trabalho dele. Ele sim pode ser configurado para bloquear a liberar portas, de qualquer forma, é possivel inserir regras para as conexões que terão destino aos sites e ips do governo sejam liberadas sem mesmo checar as portas.
O Squid sem duvida é uma das melhores ferramentas de proxy que existe e com ele voce conseguirá fazer o que deseja mesmo o proxy não sendo na mesma maquina do dominio. A unica deifirença é que será um tanto mais dificil a configuração.
O trabalho seria o seguinte, colocar o samba no servidor proxy, inseri a maquina do proxy no dominio, instalar o winbind e ver o usuários.
Feito isso fazer o squid autenticar os usuários com ntlm para que apenas as maquinas do dominio possam navegar.
Ipcop nunca utilizei, pode ser que exista alguma ferramenta que faça isso.
Agora como uma grande dica. O Linux pode parecer complexo. O grande problema é que os usuários de windows migram para o linux e permanescem com o desejo de ver telinhas bonitas e fáceis. O Linux é mágico, pode fazer milhares de coisas, porém tem que ir para o console e pernalizar da maneira que voce deseja.
Abraço.