Não é apenas performance, a performance é satisfatória, apenas não é mais rápido do que se não houvesse proxy.
Mas é que o conjunto da obra é aborrecedor, tenho de lidar com regras de iptables, regras do squid e além disso, lidar com regras de acesso com os famigerados serviços do governo.
Por exemplo, o joaquim do RH tem regra de iptables para navegar transparente para certos lugares (sites/ip do governo), mas seu navegador está ajustado para autoconfiguração via rede (wpad), então o wpad tem regras para determinar se o joaquim vai usar proxy ou não, outros na rede tem situações similares.
Quando um acesso na internet falha para um programa ou uma pessoa, lá vai eu tentar descobrir se é o hardware, iptables, squid ou o wpad,... eu fiz o melhor que pude criando menus orientados que automatizam muitas tarefas, mas estou quase escrevendo um sistema operacional com tantas variáveis em scripts. As vezes um sistema do governo simplesmente falha o acesso, daí vai eu até o programa do usuário, usar um netstat e observar onde o programa quer chegar e lá vai mexer nas regras de iptables de novo, wpad e squid (dizer que tal site/ip é direto). As configurações de meu squid é praticamente um monte de 'include' com arquivos picados para lidar com varias situações, já aconteceu por exemplo, alguma atualização no linux quebrar a autenticação no AD, dai por meio de menus, troco a parte de autenticação pelo AD por nenhuma autenticação e a rede fica liberada para navegar sem a autenticação.
Até tenho menus com orientações que automatiza várias situações, mas vou lhe dizer, se eu sair daqui dessa empresa, dificilmente a próxima pessoa entenderia as camadas que tenho de lidar. Minha angustia é ter uma pilha de configurações e oras mexer aqui e oras mexer acolá, isso nem acontece sempre, mas quando acontece é aborrecedor. Me lembro que uns 10 anos atrás (ou mais), na época da linha discada, tinha um programa chamado wingate, liberou o usuário/maquina, pronto, onde ele fosse tava liberado nas portas que determinei que estivessem abertas, se eu não me engano era um proxy baseado em sockets. Tinha apenas que instalar um client, era tão simples!
Tentei convencer a empresa a comprar um appliance que fizesse tudo isso, mas devido ao custo mensal, disseram 'não'.
Estou planejamento mudar o que temos, daí o motivo de minha pergunta inicial, tornar as coisas mais simples.