<div dir="ltr"><span style="color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)">Hey all,</span><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><span style="color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)">Wondering if I could get some advice on potentially setting up a Squid forward proxy on my network. I'm not a Linux novice by any means, but I'm not experienced in server administration, log review, etc.</span><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><span style="color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)">We're needing to deploy a simple non-caching, non-peering forward proxy to integrate with an ICAP server for web filtering. My plan is pretty basic...here's my network config:</span><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><span style="color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)">Internet --> Cisco ASA --> DMZ --> Internal LAN</span><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><span style="color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)">I've received conflicting advice on whether or not there's any advantage to putting a forward proxy on the DMZ vs. internal LAN. In any case, 'm wanting to deploy an explicit proxy with a single NIC. Workstations will use a PAC file, etc. to point to the proxy.</span><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><span style="color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)">If the server is on the DMZ, I'd allow 80/443 from the internal LAN to the DMZ, then allow 80/443 from the proxy to outside. I'd also be allowing the proxy to internal LAN for ICAP, syslog, and possibly NTP. The proxy would have a single interface...although it would NAT to outside for internet access, there would be no ports open on the outside interface. </span><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><span style="color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)">Based on some testing I've done, my squid.conf would be pretty basic...</span><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><span style="color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)">http_access allow internalnetwork </span><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><span style="color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)">cache deny internalnetwork</span><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><span style="color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)">always_direct allow internalnetwork</span><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><span style="color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)">http_access deny all</span><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><span style="color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)">etc.</span><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><span style="color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)">My questions are:</span><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><span style="color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)">Does it sound like I'm on the right track here? Would the above described configuration be safe? I've read that Squid should listen only on an internal interface? What about when the server only has one? </span><div><span style="color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><br></span></div><div><span style="color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)">What level of risk would I be assuming (regular patching included)? Given that I'm relatively new to monitoring Linux servers for security, etc., is this a bad idea? I'm not really sure what to be looking for log-wise in terms of compromise. I have edge devices and monitoring on the perimeter, but I don't really know what to look for on the server itself...</span><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><br style="margin:0px;padding:0px;color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)"><span style="color:rgb(51,51,51);font-family:'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif;font-size:13px;line-height:18.2000007629395px;background-color:rgb(225,235,242)">Am I approaching this the wrong way? Should I be looking at putting it on the inside LAN? Would such an approach leave my network vulnerable should the Squid box get owned?</span><br></div></div>