У Вас не с перенаправлением проблемы, а с DNS-сервером.
Сравните на клиенте
time nslookup ya.ru
time nslookup ya.ru 8.8.8.8
Синтаксис от оси не зависит.
Проблема, и вправду была в ДНС.
У меня DHCP сервер на винде раздает адреса.
Клиент получает ДНС1 и ДНС2 автоматом.
Серверы ДНС местные, из внутренней сети. 192.168.27.4 и 192.168.28.4.
Если вручную указать ДНСы клиентам, типа - DNS1:192.168.27.4 и DNS2:8.8.8.8, то сайты открываются быстро.
Редирект срабатывает. Нет разницы в скорости.
Получается мои ДНС сервера криво настроены?
Если клиенты, обращаясь к ним, долго открывают сайты.
Пользователь решил продолжить мысль 27 Марта 2014, 06:48:07:
Но работает интернет(без прокси), только на тех клиентах, для которых приписаны след-ие правила на шлюзе:
#Полный доступ к инету
$IPTABLES -A FORWARD -s 192.168.27.38 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.27.29 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.27.21 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.27.12 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.27.15 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.27.4 -j ACCEPT
Если в данном списке нет ip адреса нового клиента, то интернет начинает так же подвисать...
Сайты не пингуются по имени. Даже если вручную прописан второй ДНС - 8.8.8.8
Только добавив новый ip в данное правило, все, сайты начинают резолвится.
Подскажите, что делать?
Пользователь решил продолжить мысль 27 Марта 2014, 07:55:36:
Я понимаю что делает данный скрипт, но для решения проблемы его содержимое мало подходит.
К тому же, раз шлюз "кто только там не правил", что там ещё может в netfilter грузится Вам подлинно неизвестно. Помогут только реально загруженные правила. (намекаю: iptables-save)
Вывод iptables-save:
# iptables-save
# Generated by iptables-save v1.4.2 on Thu Mar 27 11:51:15 2014
*nat
:PREROUTING ACCEPT [4102:282781]
:OUTPUT ACCEPT [2862:188464]
:POSTROUTING ACCEPT [2801:178145]
-A PREROUTING -s 192.168.27.12/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -d 91.185.35.42/32 -p tcp -m tcp --dport 6070 -j DNAT --to-destination 192.168.27.3:6070
-A PREROUTING -s 192.168.27.0/24 -d ! 192.168.0.0/16 -p tcp -m multiport --dports 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/16 -d 10.0.6.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/16 -j SNAT --to-source 91.185.35.42
COMMIT
# Completed on Thu Mar 27 11:51:15 2014
# Generated by iptables-save v1.4.2 on Thu Mar 27 11:51:15 2014
*mangle
:PREROUTING ACCEPT [214837:123974245]
:INPUT ACCEPT [6993595:5222559022]
:FORWARD ACCEPT [5145145:2738017759]
:OUTPUT ACCEPT [122211:117562654]
:POSTROUTING ACCEPT [11504623:7983998519]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Mar 27 11:51:15 2014
# Generated by iptables-save v1.4.2 on Thu Mar 27 11:51:15 2014
*filter
:INPUT DROP [251:17205]
:FORWARD DROP [1:71]
:OUTPUT ACCEPT [122213:117563702]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p icmp -j ACCEPT
-A INPUT -d 224.0.0.0/8 -j DROP
-A INPUT -i eth1 -j ACCEPT
-A INPUT -s 94.25.125.102/32 -j ACCEPT
-A INPUT -s 91.229.188.2/32 -j ACCEPT
-A INPUT -s 95.167.59.174/32 -j ACCEPT
-A INPUT -s 90.188.61.209/32 -j ACCEPT
-A INPUT -s 91.189.160.186/32 -j ACCEPT
-A INPUT -s 195.206.56.74/32 -j ACCEPT
-A INPUT -s 192.168.20.8/32 -p udp -j ACCEPT
-A INPUT -s 192.168.28.1/32 -p udp -j ACCEPT
-A INPUT -s 192.168.29.1/32 -p udp -j ACCEPT
-A INPUT -s 192.168.20.1/32 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -s 192.168.28.1/32 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -s 94.25.125.102/32 -p ah -j ACCEPT
-A INPUT -s 94.25.125.102/32 -p gre -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5001 -j ACCEPT
-A INPUT -s 94.25.125.102/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.20.0/23 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.20.9/32 -d 192.168.27.1/32 -p tcp -m tcp --dport 10050 -j ACCEPT
-A FORWARD -d 192.168.27.8/32 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -s 192.168.27.38/32 -j ACCEPT
-A FORWARD -s 192.168.27.29/32 -j ACCEPT
-A FORWARD -s 192.168.27.21/32 -j ACCEPT
-A FORWARD -s 192.168.27.12/32 -j ACCEPT
-A FORWARD -s 192.168.27.15/32 -j ACCEPT
-A FORWARD -s 192.168.27.4/32 -j ACCEPT
-A FORWARD -d 192.168.27.3/32 -p tcp -m tcp --dport 6070 -j ACCEPT
-A FORWARD -s 192.168.27.3/32 -p tcp -m tcp --sport 6070 -j ACCEPT
-A FORWARD -s 192.168.57.0/24 -d 192.168.27.0/24 -j ACCEPT
-A FORWARD -s 192.168.27.0/24 -d 192.168.57.0/24 -j ACCEPT
-A FORWARD -s 192.168.27.0/24 -d 192.168.0.0/16 -j ACCEPT
-A FORWARD -s 192.168.57.0/24 -d 192.168.0.0/16 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -d 192.168.27.0/24 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -d 192.168.57.0/24 -j ACCEPT
-A FORWARD -s 192.168.20.6/32 -d 192.168.0.0/16 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -d 192.168.20.6/32 -j ACCEPT
-A FORWARD -s 192.168.29.3/32 -d 192.168.0.0/16 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -d 192.168.29.3/32 -j ACCEPT
-A FORWARD -s 192.168.28.4/32 -d 192.168.0.0/16 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -d 192.168.28.4/32 -j ACCEPT
-A FORWARD -s 192.168.2.3/32 -d 192.168.0.0/16 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -d 192.168.2.3/32 -j ACCEPT
-A FORWARD -s 192.168.3.4/32 -d 192.168.0.0/16 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -d 192.168.3.4/32 -j ACCEPT
-A FORWARD -s 192.168.0.99/32 -d 192.168.0.0/16 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -d 192.168.0.99/32 -j ACCEPT
-A FORWARD -s 192.168.7.6/32 -d 192.168.0.0/16 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -d 192.168.7.6/32 -j ACCEPT
-A FORWARD -s 192.168.27.4/32 -d 192.168.0.0/16 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -d 192.168.27.4/32 -j ACCEPT
-A FORWARD -s 192.168.27.0/24 -d 188.128.119.16/28 -j ACCEPT
-A FORWARD -s 192.168.57.0/24 -d 188.128.119.16/28 -j ACCEPT
-A FORWARD -s 192.168.27.0/24 -d 91.229.188.0/23 -j ACCEPT
-A FORWARD -s 192.168.57.0/24 -d 91.229.188.0/23 -j ACCEPT
-A FORWARD -s 192.168.57.0/24 -d 10.0.6.0/24 -j ACCEPT
-A FORWARD -s 10.0.6.0/24 -d 192.168.57.0/24 -j ACCEPT
-A FORWARD -s 192.168.27.0/24 -d 10.0.6.0/24 -j ACCEPT
-A FORWARD -s 10.0.6.0/24 -d 192.168.27.0/24 -j ACCEPT
-A FORWARD -s 192.168.27.0/24 -d 213.180.193.0/24 -j ACCEPT
-A FORWARD -s 192.168.27.0/24 -d 91.106.200.0/24 -j ACCEPT
-A FORWARD -s 192.168.27.0/24 -d 91.106.203.0/24 -j ACCEPT
-A FORWARD -s 192.168.27.0/24 -p tcp -m multiport --dports 443,22 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.27.0/24 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Thu Mar 27 11:51:15 2014
Пользователь решил продолжить мысль 27 Марта 2014, 08:43:52:
Прописал на шлюзе разрешение для ДНС сервера провайдера:
$IPTABLES -A FORWARD -s 192.168.27.0/24 -d 195.206.40.0/24 -j ACCEPT
В настройках местного ДНС сервера на Windows Server, указал 1й ДНС - местный, второй - провайдера.
Теперь, клиент, получив настройки днсов спокойно ходит по сайтам как нужно.
Редирект срабатывает. Сайты открываются.
Всем спасибо за помощь!