Pc's que no estan en acl permitidos igual salen a internet

Ante todo saludos a todos los amigos linuxeros; permitanme decirles que soy nuevo en este maravilloso mundo del linux y quisiera que me den una ayuda con un problema que tengo de antemano gracias por su colaboracion.
Tengo intalado un servidor Debian con kernel 2.6, montado en este debian un Squid y un Firewall(iptables).
Ya e configurado mi squid transparente que sale pòr el puerto 8080 con una lista de ips permitidas y una lista de sitios prohibidos y he puesto las reglas del Iptables.
El problema que tengo es que las maquinas que no estan en la lista de ips permitidas tambien tienen salida a internet y tampoco no restringe las paginas prohibidas es como si no pasara por el squid y solo ejecutaria las reglas de iptables.
Hise una prueba de quitar todas las reglas del firewall pensando que lo habia bloqueado al squid pero ya no tuve salida a internet y cuando volvi a poner las reglas en el iptables volvi a salir al internet.
Amigos le adjunto el squid e iptables para que vean como lo tengo configurado y me den una ayuda por favor.
Gracias nuevamente su colaboracion.

*****configuracion squid ********
http_port 192.168.1.122:8080 transparent
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_mem 64 MB
cache_dir ufs /var/spool/squid 8000 16 256
access_log /var/log/squid/access.log squid
hosts_file /etc/hosts
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
# Daremos acceso y/o restringiremos a los usuarios de la red - DRR
acl permitidos src "/etc/squid/permitidos"
acl restringidos url_regex "/etc/squid/restringidos"
#acl extensiones urlpath_regex "/etc/squid/extensiones"
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 8080 # http (se tiene que habrir ? no estaba esto lo agregue para ver si funciona en algo pero sigue igual)
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
# Da permiso y restringe a los de la lista - DRR
http_access allow permitidos
http_access deny restringidos
http_access deny all
http_reply_access allow all
icp_access allow all
cache_effective_group proxy
visible_hostname = emapasmsa
coredump_dir /var/spool/squid

******configuracion de iptables*******
eth0 = viene del Router
eth1 = va al switch de mi lan
192.168.b.bbb = es el ip de mi server(eth0)
192.168.aa.a = es la trama de mi red interna (eth1)

#!/bin/sh
#SCRIPT DE IPTABLEs
echo -n Aplicando reglas de Firewall

## FLUSH DE REGLAS
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

#HABILITAR FORWARD DE PAQUETES
iptables -t nat -A POSTROUNTING -o -i eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

##SE ESTABLECEN POLITICAS POR DEFECTO
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## EMPIEZA EL FILTRADO, eth0 es la salida a internet, eth1 la salida a red local

#El localhost se deja abierto
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#Abrimos el puerto del Ftp
iptables -A OUTUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -j ACCEPT

#Abrimos el puerto del WEb, PUERTO 80
iptables -A INPUT -i eth1 -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT

#Abrimos el puerto del WEbmin, PUERTO 10000
iptables -A INPUT -i eth1 -p tcp --sport 10000 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 10000 -j ACCEPT

#PUERTO PARA EL EMULE
## iptables -A INPUT -i eth1 -p tcp --sport 4662 -j ACCEPT
## iptables -A OUTPUT -o eth1 -p tcp --dport 4662 -j ACCEPT

## iptables -A INPUT -i eth1 -p udp --sport 4672 -j ACCEPT
## iptables -A OUTPUT -o eth1 -p udp --dport 4672 -j ACCEPT

#PERMITIR LA SALIDA SMTP, PUERTO 25 DEL CORREO
iptables -A INPUT -i eth0 -p tcp --sport 25 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 25 -j ACCEPT
#SMTP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
#POP3
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT

#Dejamos abierto el acceso al firewall desde la red local
iptables -A INPUT -s 192.168.10.0/24 -i eth1 -j ACCEPT

#Hacemos enmascaramiento de la red local y activamos el bit de FORWARDING
iptables -t nat -A POSTROUTING -s 192.168.aa.a/24 -o eth0 -j MASQUERADE
iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE

#REDIRECCIONO LA INFO A UN PUERTO, TRANSPARENCIA
iptables -t nat -A PREROUTING -i eth1 -s 192.168.b.bbb/24 -d ! 192.168.b.bbb/24 -p tcp --dport 80 -j REDIRECT --to-port 8080

#INTENTO DE BLOQEAR EL MSN
## iptables -A FORWARD -p TCP --dport 1863 -j REJECT
## iptables -A FORWARD -d 64.4.13.0/24 -j REJECT
## iptables -A FORWARD -p tcp --dport 1863 -j REJECT --reject-with tcp-reset

chmod +x /etc/network/if-up.d/firewall
echo *OK, verifiquese el script con iptables -L -n*
#FIN DEL SCRIPT