A regra do firewall tem uma falha lógica: ela redireciona todo o trafego web de dentro da rede para um micro da rede. Este micro tenta usar a web e é redirecionado para ele mesmo, ai fica dando voltas e voltas e voltas até que sai (eu não sei porque saiu...), eu faria a seguinte regra:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -s ! 192.168.1.0/24 -j DROP iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -s ! 192.168.1.70 -j DNAT --to-destination 192.168.1.70:3128 Adicionando também uma regra que libera esta máquina para acessar a web: iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.1.70 -p tcp --dport 80 -j ACCEPT iptables -t filter -A FORWARD -o eth1 -i eth0 -d 192.168.1.70 -p tcp --sport 80 -j ACCEPT Explicando as regras... A primeira regra evita que o pessoal de fora da tua rede faça uso do proxy, ela é opcional se tu garante que isto não acontecerá por meio de outras regras ou de restrições no micro com o proxy. A segunda faz o redirecionamento, eu ainda tenho minhas dúvidas pois estás fazendo marcação de nat dentro de uma rede, sei lá, é "diferente"... :D A terceira regra libera a saida de http para o micro do proxy e a quarta reforça isso. Eu tenho um firewall extremamente fechado, ao invés de MASQUERADE, por exemplo, eu faço SNAT apenas para as portas que me interessam, o script fica com cerca de 200 linhas mas o firewall fica fechado e com direito a port-knocking. OBS: eth1 é assumido como interface da LAN, eth0 a interface da WAN (ligada à internet), também presumo que teu squid esteja na porta padrão (3128). Escrevi demais... :) -- Maxwillian Miorim <[EMAIL PROTECTED]> ---- Slackware 11.0/current, OpenBSD 3.9 and Debian SID/experimental.
