Как вариант добавляешь на все машины(или те что надо) второй ИП адрес из подсети 192.168.2.Х без указания адреса шлюза 192.168.2.1, тем самым они будут юзать эту подсеть, а в инет тока через прокси.
Или пусть себе и лазают через прокси, просто указываешь, чтоб трафик не считался.