Как-то так
лишнее скипнуто
192.168.5.10 - это машинка к которой прикручена тарелка
192.168.5.1 - это прокся на сквиде
юзвери хотят в инет тока через проскю, кошка заворачивает трафик http, https в тарелку
не забываем дать машине с тарелкой возможность установить туннельное соединение

как считать трафик... вопрос конечно интересный
входящий со спутника тебе надо считать на той машине к которой прикручена тарелка. Но это уже некошечная тема, имхо

===========================
bridge irb
!
!
interface Null0
no ip unreachables
!
interface Ethernet0
ip address 192.168.5.254 255.255.255.0
ip nat inside
ip route-cache flow
no cdp enable
hold-queue 100 out
ip policy route-map SATELLITE
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
bridge-group 1
pvc 8/35
!
!
interface BVI1
ip address ххх.ххх.ххх.103 255.255.255.224
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip route-cache flow
!
ip nat inside source list NAT interface BVI1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 ххх.ххх.ххх.97 permanent
!
!
ip access-list extended NAT
permit ip host 192.168.5.1 any
permit tcp host 192.168.5.10 host 195.10.212.5 eq 1723 ! туннель для машинки с тарелкой
permit tcp host 192.168.5.10 any eq www
permit tcp host 192.168.5.10 any eq 443
deny   ip any any
ip access-list extended SAT-ACL
deny   ip host 192.168.5.10 any
permit tcp 192.168.5.0 0.0.0.255 any eq www
permit tcp 192.168.5.0 0.0.0.255 any eq 443
deny   ip any any
!
route-map SATELLITE permit 10
match ip address SAT-ACL
set ip next-hop 192.168.5.10
!
bridge 1 protocol ieee
bridge 1 route ip
!