на серваке стоял squid с ntlm авторизацией из домена Active Directory.
все прекрасно работало.
роутер с функционалом фаейрволла был настроен на железяке DFL-800.
потом железяка сдохла.
решено было настроить все это на том же самом серваке.
хотя сама идея выставлять в качестве маршрутизатора компьютер-член домена мне глубоко не нравится
но тем не менее.
кстати, все даже работало.
но в один прекрасный момент перестало.
путем долгих манипуляций было выяснено, что проблема в DNS.
в /etc/resolv.conf прописаны dns как внутренние - локальные, так и внешние - инетовские.
в какой то момент, winbind перестал получать информацию о пользователях с контроллера домена.
компьютеры - члены домена, тоже не пинговались по доменным именам.
путем простого переноса в /etc/resolv.conf инетовского dns в конец, эта проблема была решана )))
но вообще, надо бы отдельную машинку под роутер-файерволл.