<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Dec 2, 2016 at 6:27 AM, klops <span dir="ltr"><<a href="mailto:lo.kenneth@gmail.com" target="_blank">lo.kenneth@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div id=":46t" class="a3s aXjCH m158bb78f33698687">Does this mean the squid box has to be the overall gateway for the internal<br>
network for transparrancy to work?<br>
<br>
The reason the proposed setup the way it is is because AWS VPC  service has<br>
a service based NAT gateway which we have not low level control over and it<br>
is the default gateway. We want to only route http/https traffic over to<br>
squid and the rest via their NAT gateway</div></blockquote></div><br>Couldn't you configure those VPC networks so that the AWS default route is dead by blocking all outbound (ie of no useable value to the EC2 hosts) and tell the EC2 hosts owners to change their boot scripts to delete the default gateway and replace it with your squid router? (which does have Internet access). That way you are "regaining control" of your network, and EC2 owners are "motivated" to Do The Right Thing :-)</div><div class="gmail_extra"><br></div><div class="gmail_extra">Then there'd be no need for iptable tricks on the clients. Also means you could apply this to Windows EC2 systems too</div><div class="gmail_extra"><br>I'm not an AWS guru so I have no idea if that works. I'm assuming a VPC is like a VLAN<br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Cheers</div><div><br></div><div>Jason Haar</div><div>Information Security Manager, Trimble Navigation Ltd.</div><div>Phone: +1 408 481 8171</div><div>PGP Fingerprint: 7A2E 0407 C9A6 CAF6 2B9F 8422 C063 5EBB FE1D 66D1</div></div></div>
</div></div>