Я хочу начать обсуждение плюсов и минусов запуска сервера SquidProxy в том же самом блоке pfSense, что и основной брандмауэр.
Сегодня у меня есть один pfSense, который выполняет все функции брандмауэра, такие как маршрутизация и фильтрация (я не использую NAT), поэтому pfSense фильтрует только общедоступные IPv4-адреса. Локальный DNS был отключен по соображениям безопасности, а DHCPd работает на другом компьютере во внутренней локальной сети.
Поскольку я хочу установить SquidProxy и, возможно, некоторую фильтрацию с помощью SquidGuard, очевидная идея - поместить все на главный брандмауэр, но я не уверен, что это хорошая практика. Но я не знаю, есть ли какой-нибудь жизнеспособный вариант. Сквид должен работать в прозрачном режиме, чтобы пользователи не знали, что они находятся за прокси.
Лучше всего отделять сетевой брандмауэр от всего остального. В общем-то.
Причина этого заключается в том, что чем больше программного обеспечения вы используете вместе с вашим брандмауэром, тем выше риск его взлома из-за ошибки в другом программном обеспечении - и если кто-то скомпрометирует ваш брандмауэр, он фактически станет владельцем вашей сети (или, по крайней мере, раздела он "охраняется" этим межсетевым экраном).
Однако, как правило, это легко смягчается простым отказом в доступе из внешнего мира, поскольку именно отсюда обычно и происходят большинство попыток атак. Так как «посторонним» нет необходимости использовать ваш прокси (и у вас есть множество причин, чтобы в любом случае отказать им в этом), вы можете легко настроить брандмауэр на отбрасывание / отклонение таких подключений, исходящих из-за пределов вашей сети. (Со своей стороны, хотя я использую SSH для управления своим брандмауэром на базе Linux и разрешаю SSH в мою сеть извне, внешние соединения SSH фактически перенаправляют порт на отдельный сервер в моей сети, с которого я могу перейти на брандмауэр, если Мне это нужно, а не принимать их непосредственно на брандмауэре. Просто потому, что это уменьшает поверхность атаки на самом брандмауэре.)
Это по-прежнему оставляет ваш брандмауэр уязвимым для взлома из-за уязвимости в Squid со стороны злоумышленника внутри вашей сети. Достаточно ли серьезен этот риск, чтобы оправдать установку Squid на совершенно отдельную коробку (это выполнимо даже для прозрачная конфигурация прокси как вы просите, но добавляет сложности) или нет - это компромисс, который вы должны учитывать для себя - если это просто домашняя сеть, вероятно, не стоит хлопот, но если это интернет-шлюз для Если у вас большой школьный округ или интернет-провайдер, то вы должны очень серьезно рассмотреть риск атаки изнутри.
Как и во всех вопросах безопасности, здесь нужно идти на компромисс. Однако, если есть сомнения, я рекомендую следовать приведенным здесь лучшим практикам и поместить этот прокси в отдельный ящик - лучше перестраховаться, чем сожалеть, особенно когда речь идет о вашем брандмауэре!