Есть сеть 192.168.248.0 на интерфейсе eth1. Внешняя сеть на eth0.
В ней настроил прозрачный squid, все работает. Но из-за того тчо iptables делает пренаправление всех данных с 80-го порта на 3129, то локальные ресурсы недоступны (например 192.168.248.1/sarg). Я так понял, что надо добавить в PREROUTING еще до правила перенаправления на 3129, правило роутинга для ресурсов в подсети 192.168.248.0. Чтоб они исключались. 2-й день гуглю.. не могу понять. Собсно как?
конфиг iptables:
# Generated by iptables-save v1.4.7 on Fri Mar 14 15:00:11 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [440:107698]
-A INPUT -i eth1 -p tcp -m tcp --dport 3129 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Fri Mar 14 15:00:11 2014
# Generated by iptables-save v1.4.7 on Fri Mar 14 15:00:11 2014
*nat
:PREROUTING ACCEPT [201:17635]
:POSTROUTING ACCEPT [12:982]
:OUTPUT ACCEPT [147:11207]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3129
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Mar 14 15:00:11 2014
