В том-то и дело, сразу про это подумал, сквид слушает жестко внутренний IP и порт, листинг sockstat (то же что lsof -i -вроде в лине) выдает что сквид четко держит один интерфейс (http_port 192.168.0.100:7546). Но может каким то макаром задевает. Пока не ясно одно, пользователи у которых "доступ запрещен" пингуют норма IP адрес сквида доменное имя, т.е. маршруты отпадают, все доступно, и что самое интересное, но пока не проверил, говорят 443 порт - а его я разрешаю не многим в сквиде - для скайпа - работает, т.е. скайп у юзерей продолжает пахать, если 443 порт закрыть в сквиде - то не пашет - проверено. Ежели так, то сквид артачится только по 80 порту и в голове что-то не укладывается, что за ерунда...
p.s. фаером на момент поднятия tun ни каких маршрутов не добавляю, все по дефолту. В PopTop юзеры берут адреса из диапазона свободных - основной сети. Еще есть socks5 сервер, кстати слушает тот же IP что и сквид но порт 1080 по умолчанию, он пашет как ни в чем не бывало.
p.s.2 # squid -v
Squid Cache: Version 3.1.12
poptop-1.3.4_2
p.s.3 Кстати, совсем забыл, проблема эта PopTop ни как не касается, это сквид - 100%, на этом сервере еще VTUN работает для объединения двух офисов, т.е. не по требованию, а постоянный тунель. Так вот если туннель разорвать - сквид ведет себя аналогично, т.е. на некоторое время "Доступ запрещен".
echo "good..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'