Olha, aquela configuração do início do tópico já me parece adequada pra fazer o que vc quer. Bastaria ir populando o arquivo "/etc/squid/bloqueados/unblock.txt" com os sites que podem ser acessados sem restrição.
No máximo, eu mudaria a ordem das regras no final, onde está:
http_access deny !macs_livres
http_access allow autenticados
http_access allow redelocal
http_access deny all
Dessa forma, quem não se autenticar mas pertencer à rede local vai ter acesso. Pra ficar da forma como vc quer, eu colocaria assim:
http_access deny !macs_livres
http_access deny !redelocal
http_access allow autenticados
http_access deny all
Assim, uma estação de fora da rede local seria bloqueada; e as estações da rede local iriam verificar a autenticação, pra liberar o acesso. Os sites liberados não seriam afetados, pois a liberação deles é feita bem antes disso.