Я пытался понять требования к прокси-серверу с программным обеспечением для фильтрации контента в данной сети. Моя основная проблема заключается в том, должен ли такой сервер быть шлюзом с двумя сетевыми интерфейсами для WAN и LAN или нет. Другими словами, могу ли я иметь сервер в той же сети, что и мои клиенты, и настроить squid с dansguardian с помощью одной сетевой карты? Если ответ таков, что это не обязательно должен быть шлюз, есть ли способ также фильтровать и блокировать трафик https? Большинство практических рекомендаций, найденных в Интернете, связаны с использованием pfsense (очевидно, в качестве шлюза) и установкой пакетов прокси и фильтрации содержимого поверх.
Вам не нужно запускать HTTP-прокси + кеш + фильтр на пограничном устройстве, но это немного упрощает настройку.
Если вы не запускаете его на пограничном устройстве, вам нужно поработать, чтобы ваши клиенты отправляли свои запросы на прокси. Это можно сделать через WPAD, групповые политики в сети Windows, какую-то систему управления конфигурацией.
Если вы намереваетесь фильтровать HTTPS, вам потребуется настроить клиентов, так как вы должны отправить сертификат CA в локальные хранилища сертификатов, чтобы вы могли фильтровать MITM трафик HTTPS и выполнять фильтрацию содержимого. Так что настройка клиентов на использование прокси может быть неплохой.
Что касается настройки, на устройстве без шлюза это довольно просто. Просто установите необходимое программное обеспечение на прокси-сервер. На вашем брандмауэре заблокируйте весь выходной трафик http / https, за исключением трафика, исходящего от прокси-сервера. Затем настройте своих клиентов на использование прокси-сервера.
Прокси-шлюз не обязательно должен находиться на границе сети. Клиентам просто нужно использовать его в качестве шлюза в Интернет. Сам прокси-машина может использовать другой реальный шлюз для исходящих соединений.
Наиболее распространенный вариант - настроить клиентов таким образом, чтобы прокси был их маршрутизатором шлюза по умолчанию. Которая ретранслирует все протоколы, отличные от HTTP, на настоящий пограничный маршрутизатор шлюза, а NAT - HTTP через прокси.
В официальной документации Squid есть несколько альтернативных вариантов. http://wiki.squid-cache.org/ConfigExamples/Intercept/IptablesPolicyRoute. В этих настройках реальный пограничный шлюз маршрутизирует клиентский трафик через прокси-машину и пропускает трафик только с этой машины.
Использование нескольких сетевых адаптеров необязательно независимо от конфигурации. Это хороший способ упростить правила маршрутизации (на основе интерфейса и маркировки пакетов) или увеличить объем трафика, который может обрабатывать машина. Трафик, проходящий через одну сетевую карту с этой машины, будет вдвое больше, чем у любой обычной машины. Это может иметь для вас значение, а может и не иметь.