Прозрачный Squid в локалке. Нет статистики

чтоб в моей ситуации собирать статистику по исходящим адресам, оригинальным

Нет. Нужно менять ситуацию. Раз вы сами на шлюзе прописали SNAT для перенаправляемых соединений, то squid не распологает информацией об оригинальном src-ip адресе.

Возможны различные варианты, все они требую убрать SNAT для перенаправляемых соединениях. Дальше, например, можно на машине со squid'ом настроить policy based routing, чтобы все tcp-пакеты с порта 3128 шли только через шлюз.

там Dnat. Есть какие нибудь параметры перенаправления, чтоб маскировать что ли адрес шлюза. Я к тому что получается прозрачный прокси в локалке не на шлюзе и статистика несовместимы? Ведт такую схему часто используют, когда шлюз отдельно, прокси отдельно и прокси прозрачный. Они все без статистики сидят? ))

На шлюзе маршрутизируй трафик на прокси не iptables'ом, а iproute'ом. Чтобы без всяких там натов пользовательские машины шли прямиком на проксю.

DNAT меняет только dst-адрес пакета (если рассматривать первый пакет, идущий от браузера к сайту). Раз у вас до прокси доходит уже пакет с изменёнными dst и src адресами, значит у вас на шлюзе ещё есть и SNAT или MASQRADE.

прокси в локалке не на шлюзе и статистика несовместимы?

Совместимы, только надо всё правильно настраивать.

Маскарадинг в локалку есть конечно, иначе пакеты от роутера на прокси не отфутболятся. А если отправлять роутингом трафик на проксю, то как бы шлюз-роутер тогда не нужен будет, фактически прокся и будет шлюзом, там надо будет поднимать свой фаервол, перебрасывать порты....

Видимо у меня не хватает мозгов. Может кто поделится практической реализацией моей задачи