Squid TPROXY no Ubuntu Router / Gateway

Ok, eu tenho uma caixa do Ubuntu atuando como roteador / gateway para minha LAN; com 3 placas de rede, 2 para WAN e 1 para a rede local. Ele é configurado para carregar o equilíbrio entre a WAN e o failover quando necessário. E eu tive que adicionar lula na equação. Atualmente está configurado para nat redirecionar as portas http / s para a porta do squid da seguinte forma:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3126
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3127

Eu acredito que está funcionando bem ... mas eu não quero parar por aí. Eu gostaria de experimentar o TPROXY, mas não consigo fazer funcionar. Eu não estou recebendo tráfego no access.log e os clientes estão esgotando o tempo para acessar sites.

O roteamento triangular está fora de questão, e eu não acho que deveria estar usando bridge? Então, abaixo está a minha tentativa:

iptables -t mangle -A PREROUTING -i eth1 -p tcp --dport 80 -j TPROXY --on-ip 0.0.0.0 --on-port 3126 --tproxy-mark 0x1/0x1
iptables -t mangle -A PREROUTING -i eth1 -p tcp --dport 443 -j TPROXY --on-ip 0.0.0.0 --on-port 3127 --tproxy-mark 0x1/0x1

# this is supposed to mark wan traffic going back to lan?
iptables -t mangle -A PREROUTING -i eth2 -p tcp -d 192.168.1.0/24 -j MARK --set-mark 0x1/0x1
iptables -t mangle -A PREROUTING -i eth3 -p tcp -d 192.168.1.0/24 -j MARK --set-mark 0x1/0x1

ip rule add fwmark 0x1/0x1 table 100
ip route add local 0.0.0.0/0 dev lo table 100

Bem, não tenho certeza se o TPROXY é possível com a minha configuração. Se não for possível, vou ter que desistir por agora. Mas se for, alguém saberia como?

Se a topologia de sua rede usa uma caixa de squid dentro do roteador que passa pacotes para o Squid. Então você precisará adicionar explicitamente algumas configurações adicionais. Gosta da configuração?

Obrigado.