Configuração de proxy transparente com 3 subredes diferentes

Caros amigos,
Tenho um firewall rodando o TUXFRW e agora instalei o SQUID para que possa funcionar como proxy transparente com monitoração pelo SARG.
Bom..acontece que o proxy transparente simplesmente não funciona apesar da regra no IPTABLES solicitando para redirecionar a porta 80 para 3128 do SQUID e todas as estações navegam normalmente sem gerar logs no SQUID e sem passar pelo proxy:
iptables -t nat -A PREROUTING -i $EXT_IFACE -p tcp --dport 80 -j REDIRECT --to-port 3128

Como possuo um firewall com 3 placas de rede e 3 subnets diferentes acho que ele esta se perdendo no redirecionamento.
Segue a minha configuração de rede :
eth0: 200.xxx.xxx - internet ( este é o ip para acesso a internet )
eth0:1 - 200.xxx.xxx.xxx - dmz -> ip real 191.xxx.x.x (serv. email)
eth0:2 - 200.xxx.xxx.xxx - citrix metaframe web access -> ip real 10.0.x.x (rede int).
eth3 - 10.x.x.x - rede interna ( gateway interno para a lan )

baseado na configuração acima gostaria de saber se alguém ja implemetou alguma solução parecida e se poderia me ajudar

Abraço a todos !!!

eth0: 200.xxx.xxx - internet ( este é o ip para acesso a internet )
eth0:1 - 200.xxx.xxx.xxx - dmz -> ip real 191.xxx.x.x (serv. email)
eth0:2 - 200.xxx.xxx.xxx - citrix metaframe web access -> ip real 10.0.x.x (rede int).
eth1 - 192.xxx.xxx.x.xxx ( gateway serv. e-mail )
eth3 - 10.x.x.x - rede interna ( gateway interno para a lan )

Segue correção pois havia esquecido de adicionar outra interface !!!

[Danilo_Montagna]

o seu erro está aqui..

-i $EXT_IFACE

o pacote nao entra pela interface externa... e sim pelas interfaces internas..

Danilo,
Vou mudar aqui no meu fire !!!
Mas aproveitando...po ee vou para blumenau todo fim de semana ver minha namorada !!
Sou de lages-sc
é bom ver o pessoal por aqui !!!!