Не пойму, где дыра в моем iptables

[DDDstart]

Здравствуйте.
Сервак altlinux ковчег, 3 сетевые карты.
breth0 - инет
breth1- 192.168.0.0/24 - сеть из которой вся контора ходит в инет.
breth2- 10.65.0.0/17 - сеть корпоративная с разными сервисами.
Эти сети не должны видеть друг друга, как только в случаях, специально прописанных для определенных машин.
Поднят squid на ip 192.168.0.1 и 10.65.0.25

Из сети на breth1 все пользователи лезут в инет через 192.168.0.1, из сети на breth2 через 10.65.0.25 лезут в инет только главные шишки, остальным доступ закрыт.
Есть несколько машин в сети 192-ой, которые могут лазить в сеть 10-ую на ftp сервера (доступ прописан в postrouting) и в инет минуя проксик на определенные ip по определенным портам. Так же есть несколько админских машин, которые видят все три сети без ограничений и могут залезть куда угодно.

И все бы ничего, вроде бы как сеть 192 не видит сеть 10-ю, пинги не ходят, ftp-шники не видны и .т.д, да вот беда, столкнулся с проблемой, что как только в сети 192-ой включаю в настройках браузера прокси-сервер, то прям с хрома могу через ftp://10.65.xx.xx залезть на ftp сервак, расположеный в 10-ой сети или просто по http://10.65.xx.xx залезть на web-сервер их 10-ой сети.

И это происходит только тогда, когда в squide машине дан доступ на хождение в инет и прокся прописана в настройках браузера. Как определить, где дыра?

[asy]

1. почему какие-то разрешения/запрещения в построутинге ? для путаницы ?
2. На Squid действовать будут только правила цепочек INPUT и OUTPUT, это учитывается ?

[DDDstart]

Да, наверное, придется все переделовать...
А может быть проблема в том, что 192 сетка видит инет через порт squid`а int eth0 и 10-ая сетка так же видит инет через тот же самый порт того же самого int eth0? И как раз через него получается пролезть из одной сети в другую?
По экспериментам так и получается.

Как разделить их в этом случае? Чтобы где-то была ошибка в squid - не нашел.
Нужно правило для этого случая. Ведь squid это только надстройка над iptables. Зарубишь в iptabels - зарубишь везде.

[asy]

Ведь squid это только надстройка над iptables.

Ни в коем случае. Squid - это кэширующий ftp/http прокси-сервер. К iptables он не имеет абсолютно никакого отношения, как, собственно, и к Linux. Это кроссплатформенное приложение, доступное для любых ОС, включая Windows. Разумеется, доступ к приложению можно перекрыть посредством iptables, но это не означает связи.

[DDDstart]

Разумеется iptables к squid не имеет никакого отношения, я просто имел ввиду, что надстройка - одно по отношению к другому, перекроешь в iptables - все, что выше (все сетевые сервисы ftp, http и др.) отсекешь.
Так как мне правильно разрулить эти три сети в таблице forward? сети 192 и 10 не должны видеть друг друга (правила-исключения я уже попрописывал в postrouting (это не правильно?))

На других форумах советуют сделать прозрачную маршрутизацию между локальными сетями и рулить доступом там, где им положено рулить - в filter/FORWARD.

[asy]

На других форумах советуют сделать прозрачную маршрутизацию между локальными сетями и рулить доступом там, где им положено рулить - в filter/FORWARD.

Правильно советуют. Только не надо путать это со Squid. Squid - это приложение сервера, а цепочка FORWARD не относится к локальным приложениям, по-этому эти правила никак не будут влиять на Squid. Чтобы долго не искать - http://ru.wikipedia.org/wiki/Netfilter, смотреть диаграмму. Можно пытаться рулить доступом к Squid посредством INPUT/OUTPUT, но лучше это делать правилами самого Squid. В общем, iptables отдельно, squid отдельно. Не надо их рассматривать совместно.