Iptables TEE ломает интернет

[exonix]

доброго дня.
Есть тестовый стенд из двух Debian 8.5 и Windows 10:

на перовом Debian (172.16.11.1) делаю NAT и зеркалирование трафика для Винды (172.16.11.101) на второй Debian (172.16.22.22).

Код: [Выделить]

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t mangle -A PREROUTING -d 172.16.11.101 -j TEE --gateway 172.16.22.22
iptables -t mangle -A PREROUTING -s 172.16.11.101 -j TEE --gateway 172.16.22.22
на втором Debian (172.16.22.22) включаю promisc mode:

Код: [Выделить]

ifconfig eth0 promisctcpdump-ом снимаю статистику на втором Debian - всё ок:

Код: [Выделить]

tcpdump -l | tee out.logно вот незадача, на самой Винде в браузере практически ничего кроме bing.com не открывается. При этом пинги по именам работают.
Как только отключаю зеркалирование - всё становится нормально.
Как правильно зазеркалить трафик так, чтобы он не влиял на работу клиента?

Спасибо.

[exonix]

разобрался. не TEE ломает.
на Debian-2 установлен squid. для него настроено правила IPTABLES по перенаправлению трафика на 3128 порт.
Так вот, мало того, что это правило не работает, так оно и "ломает" интернет.

[AnrDaemon]

Скорее всего, это ваш squid недонастроен.
Погуглите форум, не далее как две недели назад было две темы.

[exonix]

Скорее всего, это ваш squid недонастроен.
Погуглите форум, не далее как две недели назад было две темы.

дело в том, что этот сквид имеет только одну сетевую карту.
я вообще не уверен, что прозрачный сквид может с одной картой работать. Попробую добавить виртуальную сетевую карту.
у меня задача стоит, собирать статистику посещения веб сайтов, но я не могу использовать прозрачный прокси как шлюз для PC

[AnrDaemon]

Сквид с сетевыми картами не работает от слова совсем.
Не надо играть в угадайку, надо читать документацию.

[exonix]

Сквид с сетевыми картами не работает от слова совсем.
Не надо играть в угадайку, надо читать документацию.

от чего ж. можно выбрать IP адрес определённой сетевой карты.
но наверное, я не так выразился.

[fisher74]

Адрес... не карту же

[AnrDaemon]

можно выбрать IP адрес определённой сетевой карты.

Можно выбрать ОПРЕДЕЛЁННЫЙ АДРЕС. Сетевая карта тут никаким боком.
Упс, опередили…

[exonix]

Адрес... не карту же

ОПРЕДЕЛЁННЫЙ АДРЕС. Сетевая карта тут никаким бок

а адрес значит не карте принадлежит?

я же писал: не правильно выразился. всё. тема закрыта.

[AnrDaemon]

Вы не неправильно выразились, вы не понимаете базовую модель OSI.
А без этого понимания настраивать сеть будет очень проблематично.

[exonix]

Вы не неправильно выразились, вы не понимаете базовую модель OSI.
А без этого понимания настраивать сеть будет очень проблематично.

если я не понимаю OSI, то вы не понимаете:

тема закрыта.