Schematicamente dovresti far questo:
installare un server Linux con Squid o WIn2k Server con ISA Server o Wingate o comunque un qualsiasi software di proxy server (i migliori ono ISA e Wingate). Questo server dovrà avere (configurazione ottimale) due schede di rete, una con IP privato (es. 10.0.x.x) e l'altra con un ip pubblico (dipende però da ke tipo di contratto di conessione hai, disolito con un HDSL da 2 o 8Mb Telecom da 8 ip fissi). Installi ISA SERVER che provvederà a fare da filtro impostando sul browser dei client l'ip privato dell'ISA. Da ISA ovviamente puoi eseguire tutti i controlli e log del caso. Puoi ovviamente permettere il pasaggio attraverso l'ISA di tutti gli altri protocolli oltre all'http (POP3,SMTP etc etc). In questo modo sarà sempre e comunque il router a NATTARTI verso l'esterno, l'ISA natterà automaticamente ma solo fino al ROUTER, che dovrà avere ovviamente sull eth0 un IP pubblico a questo punto.
Questa è la configurazione tipo che ho io con Linux/Squid. Se non hai più ip pubblici dovresti comunque ovviare e far funzionare il tutto, certo in maniera meno "perfetta" ma funzionale lo stesso: installi Win2k Server con ISA, una sola scheda di rete con ip privato, lasci il router così com'è e imposti sui browser dei client l'ip privato dell'ISA che dovrà essere configurato per usare come default gw l'ip sulla eth0 del router.
Spero di aveti chiarito le idee, certo che sulla carta è tutto semplice in teoria, poi di fatto bisogna vedere se e come va il tutto.

Ciao