В компании, в которой я работаю, нам нужно внедрить то, что я думаю, называется прозрачным прокси.
Как сейчас:
A (нижняя защищенная зона) - Cisco ASA ----- Cisco ASA ---- B (более высокая защищенная область)
Что нам нужно:
A (нижняя защищенная область) - Cisco ASA --- (eth0) Proxy (eth1) --- Cisco ASA ---- B (более высокая защищенная область)
Мы уже настроили alpine linux с прокси-сервером squid, добавили два интерфейса для обеих сторон к брандмауэрам, но столкнулись с проблемой конфигурации iptables.
Прокси-серверу просто нужно регистрировать трафик и проходить через все без изменения пакетов на src / dst. Нам не нужна никакая фильтрация или блокировка, все порты 1-65535 могут быть разрешены.
Читал о TPROXY, но не нашел хорошего примера.
Я знаю, что есть и другие варианты дизайна для подобных реализаций, но именно так это должно быть сделано.
Насколько я понимаю, второй брандмауэр значения не имеет; Squid просто прозрачно перехватит первый запрос HTTP (S), отправит его на удаленный веб-сайт и вернет ответ первоначальному вызывающему. Один из возможных способов (хотя и не такой, как вы описали) - использовать WCCP в Cisco - см. Руководство по адресу https://docs.diladele.com/tutorials/web_filter_https_squid_cisco_wccp/index.html