Bravo, connaitre et reconnaitre ses limites est le début de leur dépassement ! (Qui n'a pas de limites ? Pas moi.)
Tatave donne un bon début de réponse : sensé et avec du sens.
Un proxy basé sur de la transparence et de l'interception SSL est voué à l'échec.
Un proxy transparent est un proxy non explicite : on passe dedans sans le savoir ! C'est très limité parce que cela ne fonctionne qu'avec HTTP, or la majorité des sites sont en HTTPS.
L'interception SSL est destiné à faire du transprent en mode HTTPS. Pour ce faire, il faut 'casser' la sécurité SSL, le S du HTTPS, et par conséquent remplacer le certificat initial par un autre qui sera accepté par les micros internes : ceux ci accepteront n'importe quel certificat sans pouvoir vérifier le certificat d'origine, ce qui devrait être toujours fait ! De facto, il est impossible de vérifier la sécurité initiale du site, et bonjour les faux sites ! C'est très dangereux et menteur. De plus les sites HTTPS migrent vers un petit complément (HSTS) qui empêchera la casse !
Je ne reviens pas sur la nécessité de disposer d'un proxy dédié au lieu de surcharger le firewall. Pour 30 utilisateurs, il est probable que vous avez un serveur virtualisé, alors une VM de plus ne devrait pas poser de problème. Réaliser un proxy dédié est instructif (mais exigent et ça rebute certains) : on peut partir d'une simple Debian Buster, installer Squid, SquidGuard, LightSquid, et s'inspirer des fichiers de conf de pfSense.