Dá pra fazer os dois em máquinas separadas sim. Mas pra fazer em proxy transparente, vc precisa ter um controle apurado sobre o roteador, então não dá pra fazer com mini-roteadores dedicados, como os roteadores wireless que a gente costuma usar no dia-a-dia.
Normalmente quando se faz regra de proxy transparente, usa-se uma regra parecida com a regra abaixo no firewall:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
Isso pega todo pacote que tenta sair, com destino a um servidor web, e redireciona pro squid que está na mesma máquina.
Quando o squid fica em outra máquina, vc faz algo assim:
iptables -t nat -A PREROUTING -s <IP-do-proxy> -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to <IP-do-proxy>:3128