pf и squid на разных машинах

[MZ-412]

Приветствую.

Имеем следующее:
gate1 freebsd + pf (основной маршрутизатор)
gate2 freebsd + pf + squid (прозрачная прокся для http)
Каналы на каждом разные.
Внутренние интерфейсы серверов и клиенты находятся в одной подсети.

Суть проблемы в том, что прокси не работает как прозрачный, если делать редирект http на него.

Проблем со сквидом нет. Если прописать gate2 как основной шлюз - всё будет работать. Также, если явно указать в браузере проксировать http, то тоже всё ОК.

Если смотреть tcpdump-ом на gate2, то видно следующее:

Код: Выделить всё

14:14:33.354775 IP 192.168.0.11.58724 > 192.168.0.2.3128: S 2032065675:2032065675(0) win 65535 <mss 1460,nop,wscale 3,sackOK,timestamp 170250424 0> 
14:14:33.354797 IP 192.168.0.2.3128 > 192.168.0.11.58724: S 3623834596:3623834596(0) ack 2032065676 win 65535 <mss 1460,nop,wscale 3,sackOK,timestamp 1849376052 170250424> 
14:14:33.354876 IP 192.168.0.11.58724 > 192.168.0.2.3128: R 2032065676:2032065676(0) win 0 

Собственно хэндшейк прерывается по инициативе клиента.

Правила для редиректа на gate1:
rdr on $int_if proto tcp from $int_net to any port 80 -> $gate2 port 3128
(само собой пробовал тучи вариаций)

Может кто что подскажет?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[---nebo---]

прозначное проксирование работает только в том случае, если аутентификация по IP.
Если у вас идет проверка логина и пароля(NCSA), NTLM, или другой какой прикол, то прозначно работать не будет.

[Shuba]

Я тоже над этим голову ломал, пришлось прописывать проксю в браузере