透過プロキシを通過しない（？）パケット

お世話になります。
私はWindowsコンピュータ３０台ほどが接続しているLANの管理をしています。
DHCPサーバ（debian6.0）により各クライアントに、クライントのIPアドレス、ゲートウェイのIPアドレス、ネームサーバのIPアドレスを配布しています。
クライアントに配布するゲートウェイのIPアドレスは、実際は透過プロキシ(debian6.0+squid)のIPアドレスです。
クライアントからWANへのパケットの流れは、次のようになるはずです。
---
クライアント(Windows)->透過プロキシ(debian)->ゲートウェイ(Fortigate)->WAN
---
そこで、ゲートウェイにおいて、透過プロキシ発のパケット（80番ポートあて）のみの通過を許可して、それ以外のIPアドレス発のパケット（80番ポートあて）を破棄したいと考えています。
しかし、ゲートウェイのログを観察していると、大半は透過プロキシ発のパケットですが、ごく一部、クライアント発のパケット（80番ポートあて）が到着します。
このようなパケットは、どのような場合に発生するのでしょうか？
同様の事例で原因をご存知のかたがありましたら、原因、ヒントを教えてください。
よろしくお願いします。

No.3 回答者： Toshi0230 回答日時： 2012/01/15 23:21

ICMP redirectってのは、ゲートウェイが複数あるネットワークにおいて、ルータがPCに対して「IP x.x.x.x の正しいゲートウェイは y.y.y.y だよ」と通知する仕組みです。

ぐぐれば色々と解説は見つかるはず。
WikipediaでICMPを調べても良いです。"Redirect Message" として記載されてます。

もしこれが原因なら、FortigateをPCとは異なるネットワークにすればひとまず解消できるかと。
debian サーバにはマルチアドレスを振ってルーティングを有効にする必要がありますけどね。

この回答へのお礼

「ICMP redirect」について、調べましたが、これが原因ではないと推測しています。この現象が発生するのは、特定（１割ほど）のクライアントのみで、他のクライアントでは発生しません。追究すれば原因が分かるかもしれませんが、そこまでの力がありません。これにて締め切ります。
ありがとうございました。

お礼日時：2012/01/17 15:41

No.2 ベストアンサー 回答者： Toshi0230 回答日時： 2012/01/13 05:37

クライアントが接続されているネットワークとFortigateのLAN側ネットワークが異なるのであれば、通常はあり得ない事態ですね。

両者が同じネットワークであるとするなら、
・クライアントがFortigateをgatewayとして直接指定している（固定IP？）
・透過proxyサーバからICMP redirect が出てしまっている（可能性は低いか？）
というあたりがすぐに考えつくところですね。

この回答への補足

両者は同じネットワークに属しています。
>・クライアントがFortigateをgatewayとして直接指定している（固定IP？）
IPアドレスが固定でないことは確認しました。
>・透過proxyサーバからICMP redirect が出てしまっている（可能性は低いか？）
「ICMP redirect」は初めて聞いた単語です。調べてみようと思います。

補足日時：2012/01/13 11:22

No.1 回答者： utun01 回答日時： 2012/01/12 18:17

単純に一部のクライアントPCでプロキシ設定をしていないだけということではないでしょうか。

ちなみに、ブラウザによっては独自にプロキシ設定を持っていたりするので、
「ある特定のブラウザを使用している人」である可能性もありますね。