Перенаправление трафика на squid со шлюза

[afdark]

Добрый день, товарищи!

Есть сетка на почти 200 компов. Есть отдельная железка(виртуальная) шлюз и отдельная железка(физическая) прокся squid3. Задача - необходимо трафик всей сети отправить на прокси для последующего разграничения доступа. Допустим сетка 192.168.0.0/24, шлюз 192.168.0.1, прокси - 192.168.0.2.
Я прикинул правила для iptables на шлюзе:
iptables -t nat -A PREROUTING -s ! 192.168.0.2 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:3128
iptabkes -t nat -A POSTROUTING -s ! 192.168.0.2 -p tcp -d 192.168.0.2 -j SNAT --to-source 192.168.0.1
Вопрос - насколько верны данные правила? Потому что первая моя попытка привела к появлению петли в сети и повисанию на смерть шлюза...

[AnrDaemon]

Верны то они верны, но работать ничего не будет.
Либо ставьте прокси на шлюз, как это делают нормальные люди, либо выносите его в отдельную подсеть.

[afdark]

Логичный вопрос - почему не будет работать? Данная связка правил для любого конкретного ip в сети работает, а вот применять ее ко всей сети - боязно, ибо неприятный опыт уже имел...

[AnrDaemon]

Потому что
1. В вашем варианте вы никаких ограничений применить не сможете - весь трафик на прокси будет приходить от шлюза.
2. Без второго правила у вас поперечная тяга от прокси к клиентам получается, тогда как клиенты ожидают ответы от шлюза.

[afdark]

У меня настроен acl в squid, который берет блокируемые ip из файла. Я попробовал ввести свой адрес в файлик и доступ в интернет у меня пропал. Почему?
Пользователь решил продолжить мысль 18 Февраля 2014, 16:32:59:Рабочий конфиг таков:
iptables -t nat -A PREROUTING -s ! 192.168.0.2 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:3128
iptables -t nat -A POSTROUTING -s ! 192.168.0.2 -p tcp -d 192.168.0.2 -j SNAT --to-source 192.168.0.1
iptables -A FORWARD -s 192.168.0.2 -j ACCEPT

Тест идет 10 минут - пока полет нормальный...

[afdark]

Схема не рабочая. Ограничения применить можно, а вот нормальную фильтрацию настроить - нет.