Primeiro, bloqueie o acesso direto à porta 80 para todos, exceto root e squid. (root precisa disso para obter atualizações para o seu sistema). (Estou supondo que o squid seja executado como proxy do usuário - edite conforme apropriado).
iptables -A OUTPUT -m owner --uid-owner root -j ACCEPT
iptables -A OUTPUT -m owner --uid-owner proxy -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j DROP
Então você pode configurar o firefox para usar o squid como um proxy como normal. Se seus amigos alterarem as configurações, eles serão bloqueados.
Note que o squid não pode fazer proxy no tráfego https, então não coloquei esses detalhes nessas regras. Se você quiser fazer apenas filtragem sem proxy ou cache, você pode usar o DansGuardian. Este é um guia para usar o dansguardian com alguns usuários excluídos da filtragem. O guia significará que o https (porta 443) será filtrado pelo DansGuardian, bem como pelo http (porta 80).