что не так с iptables для transparent proxy?

а ты уверен что прокси точно раотает как транспарентная ? ее для этого настроить нужно - настроил ?

напрямую заброс tcp потока вместо веба на порт прокси ничего недаст
именно прокси должна уметь работать как прозрачная

«Interception proxying is a fundamentally broken design (see for example this posting and RFC 3143, Section 2.2.2), and will not be supported by Polipo.»

оказывается он вообще не поддерживает такой режим :( о как..

> оказывается он вообще не поддерживает такой режим :( о как..

squid3 нормально поддерживает прозрачный прокси. Но надо явно указать что он будет transparent. Ещё учти что он будет работать только для внешних устройств (для которых inet-трафик проходит сквозь твой роутер). Настроить прозрачный прокси чтобы он работал для пользователей сидящих на самом роутере — более тонкая задача

>squid3 нормально поддерживает прозрачный прокси

В том смысле, который имел в виду ТС (intercepting proxy), это и второй кальмар умеет. Гораздо интереснее, что третий умеет полностью прозрачное проксирование (через iptables TPROXY).

Настроить прозрачный прокси чтобы он работал для пользователей сидящих на самом роутере — более тонкая задача

В случае с intercepting proxy — просто продублировать правила из nat/PREROUTING в nat/OUTPUT (или, что правильнее, сделать отдельную цепочку и в обоих случаях ссылаться на нее).

> В случае с intercepting proxy — просто продублировать правила из nat/PREROUTING в nat/OUTPUT

ты наверное сам не пробовал :). Он тогда себя начинает перехватывать. Я в nat/OUTPUT добавлял отдельное условие что пакеты пользователей «root» и «proxy» не проксируются (-m owner ! --uid-owner root -m owner ! --uid-owner proxy).

Да, про это момент я забыл :)
Но ничего нетривиального на мой взгляд тут нет, потому и забылось.