нет инета при отключенном прокси

[nicko]

помогите пожалуйста, не могу настроить маскарад:

в NAT/PREROUTING :
-P ACCEPT

в FILTER/OUTPUT :
-P ACCEPT

в FILTER/INPUT :
-P ACCEPT

в NAT/POSTROUTING :
-o ppp1 -j MASQUERADE

в FILTER/FORWARD :
-P ACCEPT
 
все пакеты должны пропускаться и должен работать маскарад, но инета на локальных машинах нет.

а вот если добавить строчку в PREROUTING:
-i breth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

то он появляется.

почему может не быть инета без прокси? ip_forward выставлен в 1.

[ruslandh]

Что показывают :
1. cat /proc/sys/net/ipv4/conf/all/forwarding
2. iptables --list

[nicko]

Показывают вот:
1. cat /proc/sys/net/ipv4/conf/all/forwarding
1

2. iptables --list

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[nicko]

нужен совет эксперта
посмотрел, что приходит при таких настройках в ответ на уровне tcp-пакетов, запрашивая простую статическую страничку

когда идет процедура установки tcp соединения все нормально
183   122.901925   192.168.0.10   212.192.164.28   TCP   64594 > http [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=2 SACK_PERM=1 (stream index 16)
186   123.032522   212.192.164.28   192.168.0.10   TCP   http > 64594 [SYN, ACK] Seq=0 Ack=1 Win=5840 Len=0 MSS=1380 WS=7 (stream index 16)
187   123.032597   192.168.0.10   212.192.164.28   TCP   64594 > http [ACK] Seq=1 Ack=1 Win=66240 Len=0 (stream index 16)
а вот когда посылаем запрос http
188   123.032814   192.168.0.10   212.192.164.28   HTTP   GET / HTTP/1.1 (stream index 16)
в ответ приходит почти правильный ответ
193   123.164243   212.192.164.28   192.168.0.10   TCP   tcpmux > 64594 [ACK] Seq=1 Ack=1 Win=54 Len=0 (stream index 17)
195   123.165057   212.192.164.28   192.168.0.10   TCP   tcpmux > 64594 [PSH, ACK] Seq=1 Ack=1 Win=54 Len=1283 (stream index 17)

только вот у пакетов неправильный порт источника и номер последовательности

такое ощущение, что пакеты попадают на компьютер клиента, минуя процедуру обратную маскараду, то есть содержимое ответов полностью правильное и в 6 пакете в данных содержится полностью код запрашиваемой странички

HTTP/1.1 200 OK
Date: Tue, 02 Nov 2010 22:53:38 GMT
Server: Apache
Last-Modified: Wed, 28 Sep 2005 09:38:06 GMT
ETag: "34043-3f4-433a647e"
Accept-Ranges: bytes
Content-Length: 1012
Keep-Alive: timeout=15, max=20
Connection: Keep-Alive
Content-Type: text/html

<HTML>
<HEAD>
  <TITLE>COMING SOON! GORODOK.NET!</TITLE>
  <meta http-equiv="Content-Type" content="text/html; charset=KOI8-R">
</HEAD>
<BODY BGCOLOR="white" LINK="black" ALINK="red" VLINK="black" leftmargin="1" topmargin="1" rightmargin="1" marginwidth="1" marginheight="1">
<TABLE BORDER="0" WIDTH="100%" HEIGHT="100%" CELLSPACING="0" CELLPADDING="0">
<TR><TD HEIGHT="25%"></TD></TR>
<TR>
  <TD HEIGHT="314" BACKGROUND="line.gif" VALIGN="TOP" ALIGN="center"><A HREF="http://www.nsu.ru/"><IMG BORDER="0" SRC="academ.gif"></A></TD>
</TR>
<TR><TD ALIGN="CENTER"><FONT FACE="Arial" SIZE="2"><A STYLE="text-decoration: none;" HREF="http://mail.gorodok.net/"><B><FONT COLOR="RED">&gt;&gt;</FONT>   @gorodok.net<B></A></FONT></TD></TR>
<TR><TD ALIGN="CENTER"><FONT FACE="Arial" SIZE="2"><A STYLE="text-decoration: none;" HREF="http://faq.gorodok.net/"><B><FONT COLOR="RED">&gt;&gt;</FONT>   @gorodok.net<B></A></FONT></TD></TR>
<TR><TD HEIGHT="40%"></TD></TR>
</TABLE>
</BODY>
</HTML>

вот только из-за неправильного порта источника (должен быть 80) и номера последовательности (должен быть 16) он не воспринимается браузером

господа эксперты, знакомые с в внутренней петрушкой этого процесса, объясните пожалуйста, как надо правильно подстроить процесс маскарада?