Lo que pasa es lo siguiente, omitamos por un momento el tema proxy (squid).
Cuando uno tiene N cantidad de wan, por ej wan1, wan2 y wan3, de diferentes ISP, tu puedes mediante las reglas de firewall, decirle a una VLAN o RED por que ISP va a salir. Puede hacer Balanceo simultaneo, puedes configurar contingencia (trigger) por ej: si wan 1 se cae, que se vaya por la 3 y luego por la 2. o viceversa. Junto con el Misceláneos que te han recomendado en el presente hilo. Todo esta bien.
El Detalle viene y te cambiar el escenario es cuando utilizas "Proxy Transparente" por que? por que al activarlo por defecto todo el trafico de navegacion (http, https, etc) Se va ir por el SQUID. Y al llegar al Squid el saldrá por su default gateway (del pfsense) es decir por wan1 o wan2 o wan3. Por una de ellas. Esto te mata enseguida las reglas de balanceo que pudieras tener con tus redes o con tus vlans.
Existen procedimientos ( no los he probado) para balancear a nivel de squid, pero es cuestión de ensayo y error y ver hasta que punto es factible. (en este hilo te colocaron una idea, y el link que yo te mande)
Que hago yo? cuando tengo redes grandes, de mas 200 usuarios, servidores, segmento DMZ, vlans, etc. Yo NO acostumbro a utilizar "Proxy transparente". Yo prefiero el proxy Autenticado (no transparente) y dedicado, es decir el squid en otro servidor bien sea en la lan o en la dmz, con pfsense o con otro linux, pero dedicado, es decir no lo uso (el squid) en el mismo Pfsense-perimetro.
Que ocurre con esto? Por defecto nadie, pero nadie (salvo el director y uno que otro gerente) me navega directo a internet. es decir que ajuro el usuario debe configurar Proxy para poder navegar.
El proxy dedicado al ser un servidor Mas en una red. X a nivel de Pfsense, allí si aplico política de balanceo o contingencia a nivel de regla de firewall. (ojo con el Balanceo https, ya es otro tema que te vas a conseguir mas adelante).
Al fin y al cabo, el proxy solo me va a regular el acceso a internet. Pero si algun usuario en especifico necesita salir por una WAN puntual (nat de salida, un ssh, un ftp, un ping, etc) es simple, no va por proxy para la URL que necesite llegarle, solo la Url si quiero ser paranoico.
Es cuestión de ver el escenario que mas te convenga.
Todo esta en probar, ensayo y error y por alli iras armando lo que mas te convenga.