IPTables redirect

Ik heb een transparent proxy ingericht waarbij ik het inkomende verkeer op poort 80 redirect naar 3128 (squid).
Het redirecten gaat volgens mij goed:

Dec 25 04:15:53 OpenWrt kern.warn kernel: [ 2342.580000] REDIRECT: IN=br0 OUT= MAC=22:4e:7f:78:39:3e:00:02:02:3b:b6:26:08:00 SRC=10.105.9.97 DST=82.139.121.213 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=11606 DF PROTO=TCP SPT=3263 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0

Alleen komt de redirect niet aan bij squid. Het lijkt wel of ik nog iets moet doen met iptables om dat toe te staan. Voor de duidelijkheid, in de access log van squid staat niets.

Dec 25 04:15:53 OpenWrt kern.debug kernel: [ 2342.600000] iptables denied: IN=br0 OUT= MAC=22:4e:7f:78:39:3e:00:02:02:3b:b6:26:08:00 SRC=10.105.9.97 DST=192.168.1.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=11606 DF PROTO=TCP SPT=3263 DPT=3128 WINDOW=5840 RES=0x00 SYN URGP=0

De volgende IPTables regels gebruik ik:

iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j LOG --log-prefix "REDIRECT: "
iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Kan iemand mij helpen met het laatste stukje van wat voor mij een puzzle is?

Squid staat op dezelfde machine en draait op 0.0.0.0:3128
In squid.conf heb ik het volgende gezet: http_port 3128 transparent

Dus ja, hij draait in transparent mode.
Het is me gelukt om de denied op te lossen door een INPUT rule aan te maken op br0 tcp/3128.

Toch komt er nog niets binnen bij squid

De config is als volgt:

eth0.1 heeft geen ip (is het interne netwerk, via DHCP (die in het externe netwerk hangt) krijgen de clients(!) in het interne netwerk een IP)
eth1 heeft een IP via DHCP (is het externe netwerk, de interne hardware krijgt vanuit
br0 bridged eth0.1 en eth1 en heeft IP 192.168.1.1

tcp/80 verkeer dat over de bridge gaat wordt door ebtables niet doorgestuurd over de bridge maar op de machine zelf (een router met openwrt) gehouden. Door IP tables wordt poort 80 dan doorgestuurd naar poort 3128. Dat lijkt allemaal goed te gaan, behalve dat het niet aan komt bij squid.

Het gaat er in dit geval om dat verkeer vanaf clients in het interne netwerk die een request naar poort tcp/80 doen worden doorgestuurd naar squid. Het overige verkeer loopt gewoon over de bridge.

Nee, dat werkt niet

root@OpenWrt:~# squid -d 9 -D -N -f /etc/squid/squid.conf
FATAL: Bungled squid.conf line 1088: http_port 3128 intercept
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.

als ik het weg haal dan blijft squid stil.