Последствия безопасности выполнения SquidProxy на основном pfSense Брандмауэре
Перезапустите машину, размещающую долю, или даже просто остановите (и затем воссоздайте), совместно используемая папка.
Рекомендуется отделить роль сетевого брандмауэра от всего остального. Обычно.
Причина этого заключается в том, что чем больше программного обеспечения вы используете вместе с вашим брандмауэром, тем выше риск его взлома из-за ошибки в другом программном обеспечении - и если кто-то скомпрометирует ваш брандмауэр, он фактически станет владельцем вашей сети ( или, по крайней мере, его раздел, «защищенный» этим брандмауэром).
Однако, как правило, это легко смягчается простым отказом в доступе из внешнего мира, поскольку именно отсюда обычно и происходят большинство попыток атак. Поскольку "посторонним" нет необходимости использовать ваш прокси (и у вас есть множество причин, чтобы в любом случае отказать им в этом), тогда вы можете легко настроить брандмауэр на отбрасывание / отклонение таких подключений, исходящих из-за пределов вашей сети. (Со своей стороны, хотя я использую SSH для управления своим брандмауэром на базе Linux и разрешаю SSH входить в мою сеть извне, внешние SSH-соединения фактически перенаправляют порт на отдельный сервер в моей сети, с которого я могу перейти на брандмауэр, если Мне это нужно, а не принимать их непосредственно на брандмауэре. Просто потому, что это уменьшает поверхность атаки на самом моем брандмауэре.)
Это по-прежнему оставляет ваш брандмауэр уязвимым для взлома посредством уязвимости в Squid от злоумышленника. внутри вашей сети. Достаточно ли серьезен этот риск, чтобы оправдать попытку установки Squid на совершенно отдельном компьютере (это выполнимо даже для прозрачной конфигурации прокси , как вы просите, но добавляет сложности) или нет - это компромисс, который вы должны учитывать для себя - если это просто домашняя сеть, вероятно, не стоит хлопот, но если это интернет-шлюз для большого школьного округа или интернет-провайдера, тогда вы должны очень серьезно рассмотреть риск атаки изнутри.
Как и во всех вопросах безопасности, это вопрос компромиссов. Однако, если есть сомнения, я рекомендую следовать приведенным здесь лучшим практикам и поместить этот прокси в отдельный ящик - лучше перестраховаться, чем сожалеть, особенно когда речь идет о вашем брандмауэре!
Как и во всех других вопросах безопасности, здесь нужно идти на компромисс. Однако, если есть сомнения, я рекомендую следовать приведенным здесь лучшим практикам и поместить этот прокси в отдельный ящик - лучше перестраховаться, чем сожалеть, особенно когда речь идет о вашем брандмауэре!
Как и во всех других вопросах безопасности, здесь нужно идти на компромисс. Однако, если есть сомнения, я рекомендую следовать приведенным здесь лучшим практикам и поместить этот прокси в отдельный ящик - лучше перестраховаться, чем сожалеть, особенно когда речь идет о вашем брандмауэре!