>[оверквотинг удален]
>NetIn="10.10.10.0/24"
>
>${FwCMD} add allow ip from any to any via lo0
>
>${FwCMD} add 10 fwd 127.0.0.1,3128 tcp from ${NetIn} to any 21,80,443,5190 out
>via ${IfOut}
>
>${FwCMD} add allow all from any to any
>
>то без указания прокси в браузере не вуыходит Смотрите, если строите прозрачное проксирование, тогда Вам нужно соответствующе настроить Squid. Пусть он будет слушать порт 3128 на "внутреннем" интерфейсе, т.е. котрый смотрит в локальную сеть, ну, к примеру, так:
http_port 10.10.10.2:3128 transparent
Затем, Вам нужно "перенаправить" трафик, скажем, на 80 порт из внутренней сетки поступающий на "внутренний" интерфейс на порт 3128, кроме трафика, который не нужно проксировать (для него можно просто указать правила с меньшим номером, которые будут выполняться до divert'a).
Очень приблизительно - вот так:
${FwCMD} add allow all from any to any via lo0
${FwCMD} add fwd ${IpIn},3128 tcp from ${NetIn} to any 80 in via ${IpIn}
${FwCMD} add allow all from ${NetIn} to ${IpIn},3128 to any in via ${IpIn}
${FwCMD} add allow all from ${IpOut} to any via ${IfOut}
${FwCMD} add allow udp from any 53 to ${IpOut} in via ${IfOut}
${FwCMD} add allow tcp from any to ${IfOut} established
${FwCMD} add deny all from any to any
Соответвтвенно, ядро должно быть собрано со следующими опциями:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPDIVERT
options IPFIREWALL_FORWARD
Ну, и в процессе настройки, пользуйтесь tcpdump и добавьте в правила протоколирование трафика - очень способствует! :)