[vadblm]

Ваша затея ничего не даст, т.к. squid резольвит сам и делает это вовсе не на внутреннем интерфейсе. Именно ему и нужно подпихивать сервера от этой Netpolice через директиву dns_nameserves. Но лучше поднять кэширующий DNS сервер с upstream серверами от Netpolice, принудив локалку средствами фаервола использовать только его (закрыть доступ в мир TCP/53 и UDP/53 из локалки, оставив доступ только к своему DNS-серверу); прописать его в указанную директиву сквида dns_nameservers и на нужные локальные машины, не прописывая, однако, в resolv.conf на самом сервере, чтобы его службы по умолчанию продолжали пользоваться нормальными, "необрезанными" DNS. По поводу сложности настройки на сотне машин, есть такая штука DHCP, ею можно раздавать сетевые настройки, в т.ч. DNS, также можно сделать жёсткую привязку по мак-адресу, тут придётся повозиться, переписывая мак-адреса, зато потом сетевые настройки на всём зопарке можно будет менять лёгким движением руки, одновременно не давая ушлым студентам свободы действий.