Проблема с контролем трафика

[Rydj]

Доброго времени суток, столкнулся с проблемой ограничения скорости для трекера. На сервере стоит squid+squidguard+sarg и настроен прозрачный прокси. Недавно обнаружил что компьютер в локалке может качать с трекера при этом скорость не ограничевается, хотя на прокси прописан ограничитель, статистика тож не показывает что идет скачка. Помогите понять в чем ошибка, раньше вроде тестил такого раньше не замечал?
eth0 -смотрит в интернет
eth1- локалка

iptables-save

(Нажмите, чтобы показать/скрыть)

root@server1:~# iptables-save
# Generated by iptables-save v1.4.4 on Tue Jul 12 12:01:18 2011
*filter
:INPUT ACCEPT [7750849:4399318727]
:FORWARD ACCEPT [10901836:4091789728]
:OUTPUT ACCEPT [7920108:4830797179]
-A INPUT -i lo -j ACCEPT
COMMIT
# Completed on Tue Jul 12 12:01:18 2011
# Generated by iptables-save v1.4.4 on Tue Jul 12 12:01:18 2011
*nat
:PREROUTING ACCEPT [2544533:142777854]
:POSTROUTING ACCEPT [5474:306742]
:OUTPUT ACCEPT [217088:13918006]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination x.x.x.x(ip локалки):80
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination x.x.x.x(ip локалки):80
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5900 -j DNAT --to-destination x.x.x.x(ip локалки):5900
-A POSTROUTING -o eth0 -j SNAT --to-source внешний ip
COMMIT
# Completed on Tue Jul 12 12:01:18 2011

squid.conf

(Нажмите, чтобы показать/скрыть)

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl LocalNet src 172.16.0.0/21
acl Lebedev src 172.16.2.161/32
acl m dstdomain example.ru

acl SSL_ports port 443
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl CONNECT method CONNECT

delay_pools 2
delay_class 1 2
delay_class 1 2
delay_parameters 1 -1/-1 50000/40000
delay_access 1 allow LocalNet
delay_access 1 deny all

deny_info http://172.16.0.4/accessdeny badsite

http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow all

icp_access deny all

htcp_access deny all

http_port 172.16.0.1:3128 transparent
visible_hostname example.com
cache_dir ufs /var/spool/squid3 50000 16 256
error_directory /usr/share/squid3/errors/ru
memory_pools on
memory_pools_limit 512 MB
http_access allow localnet
http_access allow localhost
maximum_object_size 10240 KB

no_cache deny m

refresh_pattern \.bz2$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.exe$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.gif$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.gz$           43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ico$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.jpg$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.mid$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.mp3$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.swf$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.tar$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.tgz$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.zip$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://ad\.                        43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://ads\.                       43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://adv\.                       43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://click\.                     43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://count\.                     43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://counter\.                   43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://engine\.                    43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://img\.readme\.ru             43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://userpic\.livejournal\.com   43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ru/bf-analyze                    43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ru/bf-si                         43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /advs/                             43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /banners/                          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /cgi-bin/iframe/                   43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       80%     14400

hierarchy_stoplist cgi-bin ?

access_log /var/log/squid3/access.log squid

icp_port 3130

dns_nameservers 172.16.0.1

coredump_dir /var/spool/squid3
redirect_program /usr/bin/squidGuard
redirect_children 5

[AyaTooru]

Торрент качает не через прокси, а напрямую через NAT.

[Rydj]

Ну это понятно, раз в статистике нет тех страшных гигабайт которые народ качает, как проблему исправить? Убрать прозрачный прокси чтоль?

[AyaTooru]

*filter
:INPUT DROP #запрещаем все входящие подключения
:FORWARD DROP #запрещаем все перенаправления через NAT
:OUTPUT ACCEPT

#для большей секьюрности:
-A INPUT ! -i lo -m addrtype --src-type LOCAL -j DROP
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p tcp -m conntrack --ctstate INVALID,NEW -m tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with icmp-port-unreachable

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #пропускаем установленные соединения
-A FORWARD -i eth0 -p tcp -m state --state NEW -m tcp -m multiport --dports 80,8080,5900 -j ACCEPT #разрешаем подключения на необходимые порты
-A INPUT -i lo -j ACCEPT # разрешаем локальные подключения
-A INPUT -i eth1 -j ACCEPT# разрешаем все подключения из локалки
COMMIT

*nat
:PREROUTING ACCEPT
:POSTROUTING ACCEPT
:OUTPUT ACCEPT
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination x.x.x.x(ip локалки):80
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination x.x.x.x(ip локалки):80
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5900 -j DNAT --to-destination x.x.x.x(ip локалки):5900
-A POSTROUTING -o eth0 -j SNAT --to-source внешний ip
COMMIT

[Rydj]

Спс, ток я не понял всмысле явно разрешить снаружи? Порты чтоль которые используются на внешнем интерфейсе(80, 22,8080 и т.д)?

[AyaTooru]

Если есть необходимость подключения снаружи (из интернета) к твоему серверу, к примеру к ssh или smtp или вёб, то надо разрешить эти порты.
Вот те, которые у тебя перенаправляются в локалку надо разрешить:
-A FORWARD -i внешний-интерфейс -p tcp -m state --state NEW -m tcp -m multiport --dports 80,8080,5900 -j ACCEPT

[Rydj]

Понятно, большое спс вечерком попробую.

[AyaTooru]

Немного поправил мой пример выше, вот как-то так должно быть.

[Rydj]

Теперь возникла проблема с https,  понятно что прозрачный прокси с ним не работает но походу до того как сделал новые правила https тоже шел в обход прокси можно ли как нить вернуть?

[AyaTooru]

Ну можно добавить 443 порт к разрешённым уже 80,8080,5900.

[Rydj]

Пробовал, не пашет. Гмэил не открывается. Пробовал ещё так писать iptables -A INPUT -p tcp --dport 443 -j ACCEPT но результата не дало(