Como Jakuje mencionado, você pode usar opções para proibir o encaminhamento.
Restringindo o tráfego de saída pelo proprietário
Also I want the proxy to not proxy connections to anything in the server's internal network.
Você pode usar o módulo iptables owner
para permitir a saída de grupos e usuários específicos nas regras OUTPUT
para locais específicos, como o servidor de gateway ssh, mas bloquear todo o resto. O módulo do proprietário pode corresponder em gid ou uid. Este método também é comumente usado em conjunto com o Tor.
Você também pode usar isso para permitir que daemons específicos atinjam serviços específicos. por exemplo. Se usar o ldap, você pode permitir que a conta de serviço do ldap consulte seu servidor ldap e nada mais.
Se estiver usando o iptables nessa mansão, você pode primeiro permitir (mas registrar) o tráfego para que você saiba o que teria sido descartado.