>Помогите кто нибудь, никто помочь не может.....
>1)ЛВС-организована в домен main.ru
>адрес сети 192.168.1.0/24
>DNS сервер- 192.168.1.1/32(Windows2000server)
>
>192.168.1.254/32 - Шлюз в Internet (Linux RedHat9.0)
>(eth1-195.98.60.122/32-внешний интерфейс)
>(eth0 -192.168.1.254/32-внутренний интерфейс)
>пользователи домена выходят в internet через Squid на шлюзе
>
>необходимо чтобы некоторые пользователи(192.168.1.20/32) выходили в internet на прямую минуя прокси!!!!!!!!
>кто только чего не говорил ничто не работает!!!!!!!!!!
>подскажите пожалуста как ето организовать может помимо правил в фаирволе необходимо ещё
>что-нибудь...
>
>
>#!/bin/sh
>echo "Starting firewalling..."
>#Определение переменных
>#"eth1" Интерфейс к Internet
>#"eth0" Интерфейс к локальной сети
>LP="127.0.0.0/8"    #диапазон адресов обратной петли
>NAMESERVER="195.98.32.0/24" #DNS-сервер провайдера
>SMTP_SERVER="any/0"        #Внешний почтовый сервер
>UNPORTS="1024:65535"   #Непривилегированные порты
>BROADCAST_DEST="255.255.255.255" #Целевой широковещательный адрес
>BROADCAST_SRC="0.0.0.0" #Исходный широковещательный адрес
>#Адрес внешнего интерфейса
>IPADDR="195.98.60.122"
>#Адрес сети провайдера
>MY_ISP="195.98.32.0/24"
>LOGGING=1
>cd /sbin
>#Удаление существующих правил
>./iptables -F
># разрешаем форвардить пакеты ...
> echo 1 > /proc/sys/net/ipv4/ip_forward
>#Установка политики запрета по умолчанию
>./iptables  -P INPUT   DROP
>./iptables  -P FORWARD ACCEPT
>./iptables  -P OUTPUT  ACCEPT
>#Неограниченный трафик через интерфейс обратной петли
>./iptables  -A INPUT  -i lo -j  ACCEPT
>./iptables  -A OUTPUT  -o lo -j ACCEPT
>
>#Запрет пакетов, якобы отправленных с моего компьютера
>./iptables  -A INPUT  -i eth1 -s $IPADDR -j DROP
>
># разрешаем доступ в Inet с IP 192.168.1.20/255.255.255.255 на прямую
># iptables -A FORWARD -s 192.168.1.20/255.255.255.255 -o eth1 -j ACCEPT
># iptables -t nat -A POSTROUTING -s 192.168.1.20/255.255.255.255 -o eth1 -j #MASQUERADE
>
>
>#разрешение прохождения http трафика
>./iptables  -A INPUT  -i eth1 -p tcp -s any/0 --sport
>80 -d $IPADDR --dport $UNPORTS -j  ACCEPT
>./iptables  -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport $UNPORTS
>-d any/0 --dport 80 -j  ACCEPT
>
>#Необходимые службы
>./iptables  -A INPUT   -i eth1 -p udp -s 0/0
>--sport 53 -d $IPADDR --dport 1024:65535 -j ACCEPT
>./iptables  -A OUTPUT  -o eth1 -p udp -s $IPADDR -d
>0/0 -j ACCEPT
>./iptables  -A INPUT   -i eth1 -p tcp -s 0/0
>--sport 53 -d $IPADDR --dport 1024:65535 -j ACCEPT
>./iptables  -A OUTPUT  -o eth1 -p tcp -s $IPADDR -d
>0/0 -j ACCEPT
>
>./iptables  -A INPUT   -i eth1 -p udp -s 0/0
> -d $IPADDR --dport 53 -j ACCEPT
>./iptables  -A INPUT   -i eth1 -p tcp -s 0/0
> -d $IPADDR --dport 53 -j ACCEPT
>
>#Разрешение исходящего AUTH-запроса
>./iptables  -A OUTPUT  -o eth1 -p tcp -s $IPADDR -d
>0/0 --dport 113 -j ACCEPT
>./iptables  -A INPUT   -i eth1 -p tcp -s 0/0
>--sport 113 -d $IPADDR -j ACCEPT
>#Прием входящих AUTH-запросов
>./iptables  -A INPUT    -p tcp -s 0/0 -d
>195.98.60.122 --dport 113 -j ACCEPT
>./iptables  -A OUTPUT   -p tcp -s 195.98.60.122  --sport
>113 -d 0/0 -j ACCEPT
>#------------ закроем proxy -------------------
>  iptables -A INPUT -p tcp -s 192.168.1.0/255.255.255.0 --dport 3128 -j
>ACCEPT
>  iptables -A INPUT -p tcp -s 127.0.0.1/255.255.255.0 --dport 3128 -j
>ACCEPT
>  iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --dport 3128 -j
>DROP
>
>#Передача почты через SMTP
>./iptables  -A OUTPUT  -o eth1 -p tcp -s 0/0 --sport
>1024:65535  -d 0/0 --dport 25 -j ACCEPT
>./iptables  -A INPUT   -i eth1 -p tcp -s 0/0
>--sport 25 -d $IPADDR --dport 1024:65535  -j ACCEPT
>
>./iptables  -A INPUT   -i eth1 -p tcp -s 0/0
>--sport 1024:65535 -d $IPADDR --dport 25  -j ACCEPT
>./iptables  -A OUTPUT  -o eth1 -p tcp -s $IPADDR --sport
>25  -d 0/0 --dport 1024:65535 -j ACCEPT
>
>#Извлечение почты посредством POP-клиента
>./iptables  -A OUTPUT  -o eth1 -p tcp -s 0/0 --sport
>1024:65535 -d 0/0 --dport 110 -j ACCEPT
>./iptables  -A INPUT   -i eth1 -p tcp -s 0/0
>--sport 110 -d $IPADDR --dport 1024:65535 -j ACCEPT
>
>./iptables  -A OUTPUT  -o eth1 -p tcp -s $IPADDR --sport
>$UNPORTS -d 0/0  --dport 110 -j ACCEPT
>./iptables  -A INPUT   -i eth1 -p tcp ! --syn
>-s 0/0 --sport 110 -d $IPADDR --dport $UNPORTS -j ACCEPT
>
>#Все локальные машины могут обращаться к брандмауэру
>./iptables  -A INPUT  -i eth0 -s 192.168.1.0/24 -j ACCEPT
>./iptables  -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT
>
>#Стандартный ftp-доступ
>./iptables  -A OUTPUT  -o eth1 -p tcp -s $IPADDR --sport
>$UNPORTS -d 0/0  -j ACCEPT
>./iptables  -A INPUT   -i eth1 -p tcp -s 0/0
>--sport 21 -d $IPADDR  --dport $UNPORTS -j ACCEPT
>
>./iptables  -A INPUT   -i eth1 -p tcp -s 0/0
>--sport 20 -d $IPADDR  --dport $UNPORTS -j ACCEPT
>./iptables  -A OUTPUT  -o eth1 -p tcp -s $IPADDR --sport
>$UNPORTS -d 0/0  -j ACCEPT
>#
>#./iptables  -A INPUT   -i eth1 -p tcp -s 0/0
>--sport $UNPORTS -j ACCEPT
>#./iptables  -A OUTPUT  -o eth1 -p tcp -s $IPADDR --sport
>$UNPORTS -d 0/0 --dport $UNPORTS -j ACCEPT
>
>
>#ICQ
>#
>./iptables -A FORWARD -p tcp -s 0/0 --dport 5190  -o eth1
>-j ACCEPT
>./iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j MASQUERADE -p
>tcp --to-port 5190
>#маскируем ip-адресса
>./iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0.0.0.0 -o eth1 -j
>MASQUERADE
>
>
>#Регистрация недопустимых пакетов
>if ["$LOGGING"]
>then
>./iptables  -A INPUT  -p tcp -j DROP -LOG
>./iptables  -A INPUT  -p udp -j DROP -LOG
>./iptables  -A INPUT  -p icmp -j DROP -LOG
>fi
>#
>echo "done"
>exit 0

Может просто надо в настройках на клиентских машинах в настройках броузера убрать проксюк, а шлюзом прописать проксёвую машину, а DNS- ом  - DNS прова?

># iptables -t nat -A POSTROUTING -s 192.168.1.20/255.255.255.255 -o eth1 -j #MASQUERADE

Меня терзают смутные сомнения, что должно быть так:
iptables -t nat -A POSTROUTING -s 192.168.1.20 -d 0.0.0.0/0 -j MASQUERADE
или так:
iptables -t nat -A POSTROUTING -s 192.168.1.20 -d 0.0.0.0/0 --out-interface eth1 -j SNAT --to-source x.x.x.x(твой риал-айпи)

У меня работает.