Здравствуйте, уважаемые форумчане.
Пытался решить проблему сам, но не вышло, а время поджимает, помогите.
Есть DFL на котором поднято PPTP и который раздает в сеть инет (DFL основной шлюз для всей сети)
Есть КД на win 2008, на котором поднят SquidNT 2.7 stable
Squid настроен на авторизацию по доменным группам.
Не выходит сделать перенаправление всего входящего сетевого трафика с DFL на win 2008 на порт 3128.
Еще вопрос, насколько это стабильно, перенаправлять all tcp\udp запросы 70 компов на один несчастный порт одного компа?
Вот скрины конфига.
Адреса интерфейсов

IP Rules

DNS Relay

Redirect IP


Lan to Wan1

Непонятно, что Вы хотите. Есть смутное подозрение, что чтобы из LAN в Internet ходили через прокси. Но у Вас на скриншоте (где REDIRECT) правила из LAN на внешний IP (а не на all_nets).
И порт 3128 -- это аналог 80 для прокси, так что весь трафик на него направить не получится, только HTTP.
NAT/SAT используется только, когда без этого не обойтись, Вам, вероятно, достаточно обычной маршрутизации.
И прокси "совмещенный" с DC -- ой.
В целом, нужно представлять Вашу конфигурацию прокси и настройку рабочих станций, а также желаемый результат.

Если коротко, то мне надо заставить пользователей ходить в инет через машину не являющуюся основным шлюзом (основной шлюз это DFL), что бы реализовать прозрачный прокси на основе squid . Прописывать настройки прокси через политики КД не хочется, так как смогут подрубать свои домашние ноуты итд , и юзать инет.

Если сам прокси настроен как непрозрачный (порт 3128 говорит за это), может получиться только при прокси на отдельном компьютере с подключением его на отдельный порт DFL (dmz).
Если прокси настроен как прозрачный (т. е. Интернет работает через прокси при установке его шлюзом по умолчанию без указания в браузере собственно прокси-сервера), можно испоьзовать PBR для перемаршрутизации (никаких SAT/NAT).

В конфиге squid есть такое : http_port 192.168.0.5:3128 transparent
Все что мне нужно - это перенаправлять весь трафик с DFL(Lan интерфейса) на 192.168.0.5 .
Пробовал писать правило в Route , но что-то не вышло , подскажите как это сделать .

Создаете новую таблицу маршрутизации -- redirect_to_proxy. В этой таблице создаете маршрут: interface: lan destination: all_nets gateway: S1. Создаете правило маршрутизации: если source netwirk=REDIRECT_IP, service=http, то forward routing table -- redirect_to_proxy, return routing table -- main.

Инет на клиентских машинах работает как работал, трафик не проходит через прокси

Destination interface в правиле маршрутизации поставьте any вместо core.

так инет не пашет

Значит срабатывает, может прокси не хочет пропускать? А если на клиентской машине поменять default router на прокси, Инет есть?
Также посмотрите лог DFL после попыток пробиться в Инет.

Нет не срабатывает прокси , так как нет сквидовского сообщения об ошибке, кроме того я не могу сохранить эти настройки так как не могу переконнектиться к ДФЛ , и он откатывает изменения. Если перебить настройки браузера на прокси , то инет есть в тот момент пока изменения на дфл еще не откатились.

Поставьте в свойствах дополнительной таблицы (Edit this object) тип Default и флажок Remove Interface IP routes. И я спрашивал, есть ли Интернет при установке S1 в качестве маршрутизатора в свойствах сетевого подключения, без установки прокси в браузере, т. е. работает ли Ваш прокси как прозрачный?

Вам нужно прежде всего добиться, чтобы прокси работал как прозрачный, т. е. ловил обращения в Интернет, будучи заданным в качестве шлюза по умолчанию, без настройки как прокси в браузере. Я не знаю сквид, но порт для http должен быть 80, не 3128, иначе какая же это прозрачность . Если не удастся настроить прокси как прозрачный, Ваша задача в Вашей конфигурации невыполнима. Любая трансляция (SAT/NAT) требует обратной трансляции для обратных пакетов, а это здесь невозможно, т. к. прокси видит локальную сеть непосредственно и обратные пакеты просто не пойдут через DFL.

Интернет не видет но сеть работает , значит как шлюз он работает нормально, спасибо за помощь , очень помогли, дело за малым сделать редирект уже на самом s1 на порт 3128.

Ничего не понял. Не видит Инет сквид при задании его как шлюза? Какой редирект на 3128? 3128 и 8080 -- замена порта 80 для НЕПРОЗРАЧНЫХ прокси, Вам же нужен прозрачный. Настройте сквид как ПРОЗРАЧНЫЙ, я не имею опыта работы с ним, но наверняка есть инструкция.