Die Funktionsweise des transparenten Proxies wird per Portweiterleitung auf der Firewall erreicht. D.h. 80/TCP und 443/TCP werden umgeleitet.
ICMP des Traceroute sind davon nicht betroffen!
Grundsätzlich ist die Frage einer TLS Inspection auch kein "Verschleierungsthema" - im Gegenteil, wer soetwas tut MUSS die User darüber informieren!
Ich glaube, was der Abschnitt eigentlich sagen möchte, ist dass außer der Filterung auf Anwendungsebene auch eine "Deep-Packet-Inspection" möglich wäre. Entweder Signatur-basiert per SNORT oder SURICATA (auch TLS Fingerprinting gibt es hier ohne die Verbindung aufbrechen zu müssen), oder per kommerziellen Lösungen wie Zenarmor, etc.