Помогите со связкой SQUID3 + squidGuard + NAT

[akalex1]

Всем доброе утро, помогите разобраться с проблемой:
есть машина с установленной ubuntu server 12.10 LTS
на ней установлено: SQUID3, squidguard, webmin, dnsmasq, sshserver
два сетевых интерфейса:
auto eth0 # local network interface
iface eth0 inet static
address 192.168.0.1
netmask 255.255.255.0

auto eth1 # external network interface
iface eth1 inet static
address 192.168.19.120
netmask 255.255.255.0
gateway 192.168.19.7
dns-nameservers 192.168.19.7

Настройку производил согласно мануала вот отсюда http://debuntu.ru/nastroyka-prozrachnogo-squid3-squidguard единственное что изменил это на свои ip, если с SQUID3 + squidGuard проблемы не было, то вот с NAT проблема
сервер зацикливается на себя и на внешние запросы через SSH или putty не отзывается
iptables-save -c такой же как и в мануале, приходится сбрасывать iptables с самой машины, тогда получаю доступ к машине по сети
подскажите где собака порылась, я понимаю что в NAT но все вроде правильно?

[ArcFi]

Код: [Выделить]

ip a ; ip r ; sudo iptables-save

[akalex1]

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 100
    link/ether 00:10:5a:70:2a:e9 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.1/24 brd 192.168.0.255 scope global eth0
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/ether 00:e0:4c:17:fa:cd brd ff:ff:ff:ff:ff:ff
    inet 192.168.19.120/24 brd 192.168.19.255 scope global eth1
    inet6 fe80::2e0:4cff:facd/64 scope link
       valid_lft forever preferred_lft forever
default via 192.168.19.7 dev eth1 metric 100
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.1
192.168.19.0/24 dev eth1  proto kernel  scope link  src 192.168.19.120
# Generated by iptables-save v1.4.12 on Tue Oct 16 18:34:15 2012
*mangle
:PREROUTING ACCEPT [313:21267]
:INPUT ACCEPT [212:16207]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [37:2291]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Tue Oct 16 18:34:15 2012
# Generated by iptables-save v1.4.12 on Tue Oct 16 18:34:15 2012
*nat
:PREROUTING ACCEPT [313:21267]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [37:2291]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp -s 192.168.0.0/24 ! -d 192.168.0.0/24 --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth1 -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j SNAT --to 192.168.19.120
-A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Tue Oct 16 18:34:15 2012
# Generated by iptables-save v1.4.12 on Tue Oct 16 18:34:15 2012
*filter
:INPUT DROP [212:16207]
:FORWARD DROP [0:0]
:OUTPUT DROP [37:2291]
-A INPUT  -p tcp -m tcp -i eth0 -s 192.168.0.0/24 --dport 3128 -j ACCEPT
-A INPUT  -p tcp -m tcp -i eth1 ! -s 192.168.0.0/24 --sport 80 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
-A INPUT  -p tcp -m tcp -i eth0 -s 192.168.0.0/24 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -i eth0 -o eth1 ! -d 192.168.0.0/24 -m multiport --dports 53,123,443 -j ACCEPT
-A FORWARD -p tcp -m tcp -i eth1 -o eth0 ! -s 192.168.0.0/24 -m multiport --sports 53,123,443 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
-A FORWARD -p udp -m udp -i eth0 -o eth1 ! -d 192.168.0.0/24 -m multiport --dports 53,123 -j ACCEPT
-A FORWARD -p udp -m udp -i eth1 -o eth0 ! -s 192.168.0.0/24 -m multiport --sports 53,123 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
-A OUTPUT -p tcp -m tcp -o eth0 -d 192.168.0.0/24 --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
-A OUTPUT -p tcp -m tcp -o eth1 ! -d 192.168.0.0/24 --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp -o eth0 -d 192.168.0.0/24 --sport 80 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
COMMIT
# Completed on Tue Oct 16 18:34:15 2012

[ArcFi]

2: eth0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 100

http://ubuntuforums.org/showthread.php?t=1497772
http://unix.stackexchange.com/questions/48980/cannot-get-realtek-r8168-ethernet-card-up

[akalex1]

Прошу прощения немного с листингом ввел в обман, просто уже запарился , кабель был отключен от сетевухи.
eth0 - 3com
eth1 - realtek 3189
счас скину полный листинг

Пользователь решил продолжить мысль 17 Октября 2012, 21:38:37:1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 100
    link/ether 00:10:5a:70:2a:e9 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.1/24 brd 192.168.0.255 scope global eth0
    inet6 fe80::210:5aff:fe70:2ae9/64 scope link
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/ether 00:e0:4c:17:fa:cd brd ff:ff:ff:ff:ff:ff
    inet 192.168.19.120/24 brd 192.168.19.255 scope global eth1
    inet6 fe80::2e0:4cff:fe17:facd/64 scope link
       valid_lft forever preferred_lft forever
default via 192.168.19.7 dev eth1 metric 100
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.1
192.168.19.0/24 dev eth1  proto kernel  scope link  src 192.168.19.120
# Generated by iptables-save v1.4.12 on Wed Oct 17 19:38:45 2012
*mangle
:PREROUTING ACCEPT [7814:561990]
:INPUT ACCEPT [1817:135900]
:FORWARD ACCEPT [5183:341359]
:OUTPUT ACCEPT [412:52118]
:POSTROUTING ACCEPT [846:115882]
COMMIT
# Completed on Wed Oct 17 19:38:45 2012
# Generated by iptables-save v1.4.12 on Wed Oct 17 19:38:45 2012
*nat
:PREROUTING ACCEPT [7008:474141]
:INPUT ACCEPT [20:1040]
:OUTPUT ACCEPT [327:21371]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp -s 192.168.0.0/24 ! -d 192.168.0.0/24 --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth1 -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j SNAT --to 192.168.19.120
-A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Wed Oct 17 19:38:45 2012
# Generated by iptables-save v1.4.12 on Wed Oct 17 19:38:45 2012
*filter
:INPUT DROP [1723:130862]
:FORWARD DROP [4411:255440]
:OUTPUT DROP [338:22155]
-A INPUT  -p tcp -m tcp -i eth0 -s 192.168.0.0/24 --dport 3128 -j ACCEPT
-A INPUT  -p tcp -m tcp -i eth1 ! -s 192.168.0.0/24 --sport 80 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
-A INPUT  -p tcp -m tcp -i eth0 -s 192.168.0.0/24 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -i eth0 -o eth1 ! -d 192.168.0.0/24 -m multiport --dports 53,123,443 -j ACCEPT
-A FORWARD -p tcp -m tcp -i eth1 -o eth0 ! -s 192.168.0.0/24 -m multiport --sports 53,123,443 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
-A FORWARD -p udp -m udp -i eth0 -o eth1 ! -d 192.168.0.0/24 -m multiport --dports 53,123 -j ACCEPT
-A FORWARD -p udp -m udp -i eth1 -o eth0 ! -s 192.168.0.0/24 -m multiport --sports 53,123 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
-A OUTPUT -p tcp -m tcp -o eth0 -d 192.168.0.0/24 --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
-A OUTPUT -p tcp -m tcp -o eth1 ! -d 192.168.0.0/24 --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp -o eth0 -d 192.168.0.0/24 --sport 80 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
COMMIT
# Completed on Wed Oct 17 19:38:45 2012

[ArcFi]

-A POSTROUTING -o eth1 -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j SNAT --to 192.168.19.120
-A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE

Одно из двух лишнее.
Если адресация интерфейсов шлюза статическая (а это имеет смысл), то лучше убрать маскарад.

сервер зацикливается на себя и на внешние запросы через SSH или putty не отзывается

В filter/INPUT политика DROP, и я не вижу исключений для ssh.