Escucha de proxy transparente en subinterfaces

Tengo iptables y squid en la misma caja. El tráfico HTTP no parece pasar por el proxy transparente cuando cambio mis reglas en la tabla de filtros.

¿Cuál es el mejor punto para filtrar el tráfico http cuando se redirige a través del proxy y se reenvía a Internet?

Topología:

Internet < eth0 < eth1
                  eth1.10

tabla de ruteo

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.0.2.2        0.0.0.0         UG    0      0        0 eth0
10.0.2.0        *               255.255.255.0   U     0      0        0 eth0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth1
192.168.10.0    *               255.255.255.0   U     0      0        0 eth1.10

netstat:

tcp        0      0 192.168.10.254:3128    0.0.0.0:*               LISTEN 

calamar:

http_port 192.168.10.254:3128 intercept
acl hq src 192.168.10.0/24
acl http port 80
http_access allow hq
http_access deny

tabla natural:

-A PREROUTING -i eth1.10 -p tcp --dport 80 -j DNAT --to-destination 192.168.10.254:3128   
-A POSTROUTING -o eth0 -j MASQUERADE

tabla de filtros

:INPUT ACCEPT 
:FORWARD ACCEPT 
:OUTPUT ACCEPT

Este método funciona porque la política predeterminada es ACEPTAR. A continuación se muestran mis reglas de filtrado que no funcionan con calamares.

tabla de filtros

:INPUT DROP 
:FORWARD DROP 
:OUTPUT DROP 

-A INPUT -s 192.168.10.0/24 -i eth1.10 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT    
-A INPUT -i lo -j ACCEPT    
-A INPUT -i eth1.10 -p udp --dport 53 -j ACCEPT    
-A INPUT -i eth0 -p udp --sport 53 -j ACCEPT    
-A FORWARD -i eth1.10 -o eth0 -j ACCEPT    
-A FORWARD -i eth0 -o eth1.10 -j ACCEPT    
-A OUTPUT -o eth1.10 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT    
-A OUTPUT -o lo -j ACCEPT    
-A OUTPUT -o eth1.10 -p udp --sport 53 -j ACCEPT    
-A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT

Déjame saber si necesitas más información, gracias.