プロキシー接続による異なるネットワーク間のルーティングができない。(その2)

注意点

以前の投稿の字数制限のため、
こちらに追加の質問をします。実現したい事等は、以前の投稿を参照して下さい。
(teratailの投稿字数のカウント方法はマルチバイト=2,空白=1としているのでしょうか？)

発生している問題・エラーメッセージ)(その4)

以前の投稿からの続きなので、その4にしました。

rpiを再起動すると、iptablesの設定が消えるため、firewalldを利用する事にしました。また、firewalldの設定ミスでどのnicからもrpiにアクセス不能になるので、
回復nicを設けました。それに伴い、物理nic名を以下のように変更しました。
eth0 -> main-eth
eth1 -> proxy-eth
回復nic : rescue-eth

また、このリンクのownerモジュール一覧にある、「--cmd-owner」により、squidコマンド自体をルーティング対象にしました。しかし、ルート変更以前にproxy接続ができません。

firewalldの設定は、proxynet,rescuenetという2つのzoneを利用し、以下の結果が得られています。

root@raspberrypi:/etc/firewalld# firewall-cmd --get-active-zone
proxynet
  interfaces: main-eth
  sources: 192.168.0.0/24
rescuenet
  interfaces: rescue-eth

squidコマンドに対するルートテーブル変更

main_eth_ip=$(ip addr show main-eth|grep -v inet6|awk '/inet/ {print $2}'|cut -d/ -f1) &&
proxy_eth_ip=$(ip addr show proxy-eth|grep -v inet6|awk '/inet/ {print $2}'|cut -d/ -f1) &&
proxy_route_tbl=proxygw &&
proxy_route_tbl_number=201 &&
echo 1 > /proc/sys/net/ipv4/ip_forward &&
##ipコマンドによる一連の設定 &&
RT_TBL_FILE=/etc/iproute2/rt_tables
RT_TBL_STR="$proxy_route_tbl_number $proxy_route_tbl"
if [ -z "$(cat $RT_TBL_FILE|grep -a $RT_TBL_STR)"  ]; then
   echo $RT_TBL_STR >> $RT_TBL_FILE 
fi
main_eth_met=203 &&
proxy_eth_met=202 &&
ip rule  add fwmark 1 table $proxy_route_tbl &&
ip route add table $proxy_route_tbl default via 192.168.0.1 dev main-eth src $main_eth_ip metric $main_eth_met &&
ip route add table $proxy_route_tbl default via 192.168.1.1 dev proxy-eth src $proxy_eth_ip metric $proxy_eth_met &&
ip route add table $proxy_route_tbl 192.168.0.0/24 dev main-eth proto kernel scope link src $main_eth_ip metric $main_eth_met &&
ip route add table $proxy_route_tbl 192.168.1.0/24 dev proxy-eth proto kernel scope link src $proxy_eth_ip metric $proxy_eth_met　&&
##firewalldの設定 &&
firewall-cmd --zone=proxynet --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" accept' --permanent &&
firewall-cmd --zone=proxynet --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="squid" mark set="1"' --permanent
# ipコマンド,firewalld 初期化用
ip rule  del fwmark 1 table $proxy_route_tbl &&
ip route del table $proxy_route_tbl default via 192.168.0.1 dev main-eth src $main_eth_ip metric $main_eth_met &&
ip route del table $proxy_route_tbl default via 192.168.1.1 dev proxy-eth src $proxy_eth_ip metric $proxy_eth_met &&
ip route del table $proxy_route_tbl 192.168.0.0/24 dev main-eth proto kernel scope link src $main_eth_ip metric $main_eth_met &&
ip route del table $proxy_route_tbl 192.168.1.0/24 dev proxy-eth proto kernel scope link src $proxy_eth_ip metric $proxy_eth_met &&
firewall-cmd --zone=proxynet --remove-rich-rule='rule family="ipv4" source address="192.168.0.0/24" accept' --permanent &&
firewall-cmd --zone=proxynet --remove-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="squid" mark set="1"' --permanent

また、変更後のip route,iptables(firewalldは内部的にはiptablesを利用)の設定は、

ip routeの変更後の設定

root@raspberrypi:/# ip route show table main
default via 192.168.0.1 dev main-eth src 192.168.0.4 metric 202 
default via 192.168.0.1 dev rescue-eth src 192.168.0.8 metric 203 
default via 192.168.1.1 dev proxy-eth src 192.168.1.2 metric 204 
192.168.0.0/24 dev main-eth proto kernel scope link src 192.168.0.4 metric 202 
192.168.0.0/24 dev rescue-eth proto kernel scope link src 192.168.0.8 metric 203 
192.168.1.0/24 dev proxy-eth proto kernel scope link src 192.168.1.2 metric 204 

root@raspberrypi:/# ip route show table proxygw
default via 192.168.1.1 dev proxy-eth src 192.168.1.2 metric 202 
default via 192.168.0.1 dev main-eth src 192.168.0.4 metric 203 
192.168.0.0/24 dev main-eth proto kernel scope link src 192.168.0.4 metric 203 
192.168.1.0/24 dev proxy-eth proto kernel scope link src 192.168.1.2 metric 202 

firewalldの設定変更後のiptablesの設定について
字数制限のため、明らかに無関係な「public」ゾーンの非表記や、
(AAA=allow,deny,log)というまとめた表記をしました。

iptables -Lの実行結果

root@raspberrypi:/# iptables -L
Chain INPUT (policy ACCEPT)
target  prot opt source destination
ACCEPT  all -- anywhere anywhere  ctstate RELATED,ESTABLISHED
ACCEPT  all -- anywhere anywhere
INPUT_direct all -- anywhere anywhere
INPUT_ZONES_SOURCE all -- anywhere anywhere
INPUT_ZONES all -- anywhere anywhere
DROP    all -- anywhere anywhere ctstate INVALID
REJECT  all -- anywhere anywhere reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target  prot opt source    destination
ACCEPT  all  --  anywhere  anywhere     ctstate RELATED,ESTABLISHED
ACCEPT  all  --  anywhere   anywhere
FORWARD_direct  all --  anywhere   anywhere
FORWARD_IN_ZONES_SOURCE all  --  anywhere    anywhere
FORWARD_IN_ZONES  all  --  anywhere   anywhere
FORWARD_OUT_ZONES_SOURCE  all  --  anywhere  anywhere
FORWARD_OUT_ZONES  all  --  anywhere  anywhere
DROP    all  --  anywhere   anywhere   ctstate INVALID
REJECT  all  --  anywhere   anywhere    reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source    destination
OUTPUT_direct  all  --  anywhere   anywhere

Chain FORWARD_IN_ZONES (1 references)
target  prot opt source  destination
FWDI_proxynet all -- anywhere  anywhere [goto]

Chain FORWARD_IN_ZONES_SOURCE (1 references)
target prot opt source  destination
FWDI_proxynet  all -- 192.168.0.0/24  anywhere  [goto]

Chain FORWARD_OUT_ZONES (1 references)
target prot opt source  destination
FWDO_proxynet all -- anywhere  anywhere  [goto]

Chain FORWARD_OUT_ZONES_SOURCE (1 references)
target prot opt source   destination
FWDO_proxynet  all  --  anywhere   192.168.0.0/24  [goto]

Chain FORWARD_direct (1 references)
target    prot opt source     destination

Chain FWDI_proxynet (2 references)(AAA=allow,deny,log)
target prot opt source destination    
FWDI_proxynet_AAA all -- anywhere anywhere    
ACCEPT icmp -- anywhere anywhere            

Chain FWDI_proxynet_AAA (1 references) (AAA=allow,deny,log)
target  prot opt source destination         

Chain FWDO_proxynet (2 references) (AAA=allow,deny,log)
target  prot opt source          destination         
FWDO_proxynet_AAA all -- anywhere anywhere      

Chain FWDO_proxynet_AAA (1 references) (AAA=allow,deny,log)
target prot opt source destination   
 
Chain INPUT_ZONES (1 references)
target   prot opt source       destination         
IN_proxynet  all  --  anywhere anywhere [goto] 

Chain INPUT_ZONES_SOURCE (1 references)
target  prot opt source          destination         
IN_proxynet all -- 192.168.0.0/24 anywhere [goto] 

Chain INPUT_direct (1 references)
target prot opt source   destination         
ACCEPT icmp --  anywhere anywhere            

Chain IN_proxynet (2 references) (AAA=allow,deny,log)
target     prot opt source        destination         
IN_proxynet_AAA all -- anywhere   anywhere
ACCEPT    icmp -- anywhere        anywhere            

Chain IN_proxynet_allow (1 references)
target     prot opt source          destination         
ACCEPT     tcp  --  anywhere        anywhere     tcp dpt:3128 ctstate NEW
ACCEPT     tcp  --  anywhere        anywhere     tcp dpt:ftps ctstate NEW
ACCEPT     udp  --  anywhere        224.0.0.251  udp dpt:mdns ctstate NEW
ACCEPT     tcp  --  anywhere        anywhere     tcp dpt:ssh ctstate NEW
ACCEPT     all  --  192.168.0.0/24  anywhere              

Chain IN_proxynet_AAA (1 references) (AAA=deny,log)
target     prot opt source    destination                  

Chain OUTPUT_direct (1 references)
target     prot opt source    destination         

iptables -L -t mangleの実行結果

root@raspberrypi:/# iptables -L -t mangle
Chain PREROUTING (policy ACCEPT)
target     prot opt source              destination
PREROUTING_direct all -- anywhere       anywhere
PREROUTING_ZONES_SOURCE all -- anywhere anywhere
PREROUTING_ZONES all --  anywhere       anywhere

Chain AAA (policy ACCEPT) (AAA=FORWARD,INPUT,OUTPUT,POSTROUTING)
target   prot opt source   destination
AAA_direct all -- anywhere anywhere

Chain AAA_direct (1 references) (AAA=FORWARD,INPUT,OUTPUT,POSTROUTING)
target prot opt source destination 

Chain PREROUTING_ZONES (1 references)
target     prot opt source     destination 
PRE_proxynet  all  --  anywhere             anywhere  [goto] 

Chain PREROUTING_ZONES_SOURCE (1 references)
target     prot opt source    destination
PRE_proxynet  all  --  192.168.0.0/24       anywhere  [goto] 

Chain PREROUTING_direct (1 references)
target     prot opt source     destination 

Chain PRE_proxynet (2 references) (AAA=allow,deny,log)
target prot opt source destination
PRE_proxynet_AAA all -- anywhere anywhere 

Chain PRE_proxynet_allow (1 references)
target     prot opt source    destination
MARK       tcp  --  192.168.0.0/24       anywhere   tcp dpt:3128 MARK set 0x1

Chain PRE_proxynet_AAA (1 references) (AAA=deny,log)
target prot opt source destination

##具体的な症状

・squid proxyから503のhttpレスポンス
・1.1.1.1宛へのproxy接続を試行すると、src ipがeth1であるリクエストが物理nicがeth0であるインターフェースから送出をtsharkにより確認

補足情報（FW/ツールのバージョンなど）

iptables v1.6.0
squid3-3.5.23
firewalld(確認方法不明)