No, no tiene que apuntar duro en caso de haber una tarjeta de red. Puede ser transparente.

Hay varios protocolos que permiten en un router reenrutar todo el tráfico de un protocolo (80 en este caso) hacia una IP. En este caso, en esta IP habría un squid que cachearía todo el tráfico (por supuesto, el router tendría órdenes de enrutar todo menos el tráfico de esa IP, para que pueda salir).

Los RAS de los ISP tienen rutas por defecto, también se le puede indicar alos RAS que la puerta por defecto es el squid y el squid pasaría todo. Las dos variantes que te acabo de describir las he usado en un ISP donde trabajé hasta hace unos meses y sí es factible. Claro está, hay que hacer un trabajito para cada caso y no es trivial como poner dos tarjetas y ajustar iptables para que haga NAT. Pero sí se puede.

También está la variante de setear un proxy duro como describes, es verdad. Y también la de enrutar desde un linux que hace de cabeza de la red las coneciones del puerto 80 hacia una máquina interna con squid que sólo haría cache, variantes hay varias, pero sí es factible usar el squid con una tarjeta. Eso sí.
http://www.tldp.org/HOWTO/mini/TransparentProxy.html

En el capitulo 6 enseña cómo reenviar el trafico a un box remoto, que más o menos sería el box con una tarjeta.

Saludos
Ernesto