Ну где вы ГУРУ по IPCHAINS ???

вопрос поставлен крайне не правильно ! читать ipchains
ipchains -A input -s 192.168.0.0/24 -p tcp -d 1.1.1.1/24 80 -j REDIRECT 3128
-s source address
-d dest address
когож вы куда редиректите. тоесть у вас получается редиректить все спакеты
из сети 192.168.0.0/24 направленные в сеть(да не всеть а на адресс) 1.1.1.1/24 80
на 80 порт
кстати 1.1.1.1/24 не бывает в лучшем случае 1.1.1.1/0 или 1.1.1.0./24
а вы писали что надо редиректить сеть1.1.1.0

если надо кешировать сеть например 1.1.1.1
то писать надо как минимум
pchains -A input -s 1.1.1.0/24 -p -d 0.0.0.0/32 80tcp -j REDIRECT 3128
тем самым вы указываете редиректить все пакеты из сети 1.1.1.0/24 улетающие
куда угодно на порт 80. вроде я правильно написал. неправильно дак поправте.
ну можно в -d конечно обозначить сети до корых вы хотите ограничить доступ.


так во рисовать надо и писать подробнее
и не понятно в данном случае куда включаются остальные сети и какие у них
фдресса?
между serv1 и serv2, или к serv2. Ну я подумал что остальные
тоже включаются к sevr2 и используют его как gw. так же в условиях что
serv2 имеет полностью не реальные ip а serv1 имет реальный ip
и один не реальный смотрящий во внутр. сетку. а остальные сети имеют
не реальные адресса.

seerv1------ serv2------(1.1.1.0;2.2.2.0;3.3.3.0;4.4.0.0; --- остальные сети)


смотри твою ошибку server 2 редиректит 4-е сети через чебя

все четыре сети заворачиваются на сквид замечательно
но cerv2 редиректит сети только 1-4 и на нем ничего не прописанно для для
других сетей.
теперь смотри сквид далее будет обращаться к serv1 со ip адресса serv2
и пакеты с адресами 1-4 сети вообще не будут приходить на serv1.
тоесть на serv1ты должен занатить (замаскарадить) ip адресс serv2.
тогда начнуть бегать пакеты по пути например 1.1.1.0
1.1.1.0 ->serv2(редирект)->serv1(nat ip_serv2)->inet и обратно
intet->serv1(nat ip_serv2)->serv2(redirect)->local_net

Смотри правильные правила
serv2
пропустить все другие сети кроме 1.1.1.0......4.4.0.0 через форвард
если получиться, так чтоб пакеты сохранили свой source address.
заредиректить сети 1.1.1.0 .... 4.4.0.0 на локальный сквид.
Тем самым все пакеты других сетей будут сразу улетать на
serv1 а из 1-4 сети на локальный сквид.

едем дальше.
на serv1
занатить все пакеты с ip адресса serv1 - это уже заредиректенные сети 1-4.
редиректнуть все остальные сети на локальный сквид.
деразай. но вообще это гимор.
Кто мешает включить паралельно эти машины и на разных сетях поставить
разный gw. вообщем это ваша сетка и ваши проблемы как вы ее организовываете.


для остальных сетей
oter_local_network->serv2(forward)->serv1(redirect)->inet
ну и обратно в обратном порядке.

а вот нифига , можно было и догадаться что я писал 1.1.1.1 чисто как пример а не как вводимое правило - это первое . Второе , придется мне обяснять зачем это нада - есть такая страна дурацкая , ЛАТВИЯ называется , где трафик зарубежный платный , и есть хитрости чтобы поиметь бесплатным трафик иззарубежа - путем линкования одной проксяки с другой . Вот , у меня на сервере прокся для ЛВ , и там прописана через редирект вся латвия - смареть тут www.nic.lv если туго вериться , а дальше пакеты прошедшие сервер и непопавшие под определение ЛАТВИЯ должны на гейтвее редиректится на проксю принудительно . Причем для ЛАТВИИ прописаны одни скорости , и они должны контроллироватся индивидуально СЕРВЕРОМ , для зарубежки прописаны другие скорости и они также должны индивидуально контроллироваться ГЕЙТВЕЕМ , причем скорость по ЛВ и ЗАРУБЕЖ несовпадает ну никак . Зарубежная скорость ЗНАЧИТЕЛЬНО ниже . Дык вот - как я по твоейму это организовываю ? На сервере прописана ЛВ в редиректах - и это все замечательно работает . На гейтвее должна латвия проходить свободно - иначе она попадает на проксю которая должна отвечать за зарубежку - а это - низкая скорость - отсутсвие контроля - ведь весь трафик пойдет иззарубежа через гейтвей на сервер и дальше пользователям с той скоростью которая прописана для пользователей латвии , в результате все незаинтересованые в этом лица попадают на "бабки" . А теперь ситуация - якобы гейтвей пропускает через себя пакеты для ЛВ мимо а пакеты НЕ ЛВ редиректи на проксю и эти пакеты каждый клиент получает с той скоростью которая прописана на гейтвее , причем он получит ЗАРУБЕЖНЫЙ трафик . Трудно понять чтоли ?

рисунок , ну проще некуда:

HOMEWORK---->SERVER---->GW----=INTERNET

На сервере прописываем редиректом все пакеты для ЛВ , остальные пропускаем - они попадают на GW - GW их редиректит на свой сквид отвечающий за зарубежный трафик . Причем GW нужно заставить ПРОПУСКАТЬ все пакеты мимо себя относящиеся к ЛВ . GW имеет REAL_IP и на нем создан маскарадинг , на сервере пакеты просто форвардятся из области FAKE_IP

Я же писал вопрос в надежде получить ответ на решение моего вопроса так как мне нужно а не так как всем удобнее и проще - речь идет о денгах , так что тут просто так нелегко .

и проблема заключается в том что более 1 строки содержащей "!" в ипчаинсе не работоспособны . И еще , я довольно таки не тупой , и прежде чем измываться на этом форуме всегда читал читаю и буду читать документацию . Если есть решение этой проблемы в документации гденить ткните носом пожалуста - буду толко благодарен - пока я ничего не встречал.

порообуй так на GW
ipchains -A input -s 192.168.0.0/24 -d 1.1.1.1/24 -j ACCEPT
ipchains -A input -s 192.168.0.0/24 -d 2.2.2.2/24 -j ACCEPT
ipchains -A input -s 192.168.0.0/24 -d 2.2.2.2/24 -j ACCEPT
ipchains -A input -s 192.168.0.0/24 -d 2.2.2.2/24 -j ACCEPT
ipchains -A input -s 192.168.0.0/24 -p tcp -d 0/0 80 -j REDIRECT 3128

выше очепятка в строках 3-4 но идея наверно понятна

ipchains -A input -s 192.168.0.0/24 -d 1.1.1.1/24 -j ACCEPT
ipchains -A input -s 192.168.0.0/24 -d 2.2.2.2/24 -j ACCEPT
ipchains -A input -s 192.168.0.0/24 -d 2.2.2.2/24 -j ACCEPT
ipchains -A input -s 192.168.0.0/24 -d 2.2.2.2/24 -j ACCEPT
ipchains -A input -s 192.168.0.0/24 -p tcp -d 0/0 80 -j REDIRECT 3128

На счет опечатки понятно , но мужики , все оказывается намноооооого проще , до меня на 3 сутки дошло как это все организовать :

рассказываю , вдруг кому понадобиться

1 - на СЕРВЕРЕ прописываем

ipchains -A input -s 192.168.0.0/24 -d 1.1.1.1/24 80 -j ACCEPT
ipchains -A input -s 192.168.0.0/24 -d 2.2.2.2/24 80 -j ACCEPT
ipchains -A input -s 192.168.0.0/24 -d 3.3.3.3/24 80 -j ACCEPT
ipchains -A input -s 192.168.0.0/24 -d 4.4.4.4/24 80 -j ACCEPT

Радуемся , а теперь ВНИМАНИЕ ОТВЕТ %)

2 - идем на гейтвей и прописываем командочку

ipchains -A input -s ! IP_SERVER -d ! 192.168.0.0/24 80 -j REDIRECT 3128

Это до меня долшо на 3 сутки шаманства , вот , теперь как это все работать будет :

Вся ЛВ будет ходить через проксю на СЕРВЕРЕ , причем пакеты ЛВ дальше будут идти от IP_SERVER через гейтвей , и по правилу ГЕЙТВЕЙ их небудет редиректить . Условие выполнено %) !!! Теперь все не ЛВ пакеты будут проходить СЕРВЕР прозрачно , и ГЕЙТВЕЕМ заворачиваться на свой сквид , успешно их приписывая заубежному трафику ! Сохраниться вся прелесть двух серваков с кешами :) и каждый бует юзать то что я ему пропишу ! :))))