Это реально возможно? Я не могу создать правило для файрвола с действием «modify». Выдаёт ошибку: действие должно быть одним из следующих — drop, reject или accept.

Посмотри мой ответ выше... https://community.ui.com/questions/c249617c-2fb1-4cbd-a2ad-cdfa9a1efbe5#comment/2d3904f3-0a23-4d11-bb02-e7913e0c3252

Как быть с перенаправлением портов? Squid обычно слушает на 3128, так что нужно перенаправлять трафик, идущий на порт 80, на 3128, и это надо учесть в правиле фаервола. С IpTables это обычно делается примерно так: ${IPTABLES} -t nat -A PREROUTING -s ${subnet} -d ! ${MY_EXT_IP} -p tcp --dport 80 -j REDIRECT --to-port ${port}  
Думаю, с UAG это должно работать так же?

Привет! Кто-нибудь уже смог настроить это на USG? Я попробовал использовать правила из поста, но из-за них перестал работать интернет. Проверил, что мой прокси работает, если указать его прямо в браузере, сделал tcpdump, но не вижу, чтобы трафик направлялся на мой прокси-сервер. Вот моя конфигурация:

Версия прошивки USG: 4.4.8.5023698  
User LAN: 192.168.40.0/24 (eth1 vif 2523)  
IP прокси: 192.168.50.40 (/24 подсеть) (eth1)  

Обе сети маршрутизируются через USG (192.168.40.1 и 192.168.50.1) как корпоративные сети, между ними и с интернетом связь и маршрутизация работают.

Пробовал добавлять правила в разных местах... последний вариант — в модификации LOAD_BALANCE firewall:

set firewall group address-group 59f7e723e4b0a3340380a4d8 address 192.168.40.59  
set firewall group address-group 59f7e723e4b0a3340380a4d8 description customized-PROXY_CLIENTS  
set firewall group port-group 59f7e716e4b0a3340380a4d7 description customized-PROXY_PORTS  
set firewall group port-group 59f7e716e4b0a3340380a4d7 port 80  
set firewall modify LOAD_BALANCE rule 90 action modify  
set firewall modify LOAD_BALANCE rule 90 description 'Redirect traffic to Proxy Server'  
set firewall modify LOAD_BALANCE rule 90 destination group port-group 59f7e716e4b0a3340380a4d7  
set firewall modify LOAD_BALANCE rule 90 modify table 10  
set firewall modify LOAD_BALANCE rule 90 protocol tcp  
set firewall modify LOAD_BALANCE rule 90 source group address-group 59f7e723e4b0a3340380a4d8  
set protocols static table 10 route 0.0.0.0/0 next-hop 192.168.50.40  
set interfaces ethernet eth1 firewall in modify LOAD_BALANCE  
set interfaces ethernet eth1 vif 2523 firewall in modify LOAD_BALANCE  

Буду благодарен за любую помощь или идеи. В общем, хочу сделать прозрачный редирект порта 80 с eth1 vif 2523 на IP 192.168.50.40, который лежит на eth1. Спасибо!

Мне интересно настроить прозрачный прокси в своём домашнем сервере для удовольствия и обучения. Но я хотел бы понять, каких улучшений в производительности можно ожидать. У меня интернет 75/10. Прокси будет установлен в виртуальной машине на быстром хосте. Я читал, что настраивать SSL/HTTPS-прокси сложно и, возможно, не стоит затраченных усилий, поэтому предполагаю, что прозрачный прокси будет кешировать только HTTP на порту 80. С переходом на HTTPS, имеет ли вообще смысл это реализовывать?

@bccc

— Посмотрите этот пример от Untangle. Очень просто: устройство Untangle (или squid-бокс, или что там вы решите использовать) по своей сути больше похож на коммутатор, чем на файрвол, но при этом обрабатывает трафик, который через него проходит, в зависимости от того, какие функции вы включаете (фильтрация веба, SMTP и так далее). https://wiki.untangle.com/index.php/Installation#Transparent_Bridge

Спасибо,  
@cainmp

Как вариант, если вставить что-то посередине, как это будет работать? Сейчас у нас стоит система веб-фильтрации Sonar, которая, насколько я понял, раньше базировалась на версии squid, а теперь использует CentOS. Можно ли сделать так, чтобы USG выступал шлюзом с входящими WAN-соединениями, а LAN этого шлюза подключить к серверу фильтрации, а весь остальной трафик пропускать через него? Насколько я читал, это похожая проблема на ту, с которой сталкиваются сотни других: никто не хочет делать двойной NAT и хочет иметь возможность отключать некоторые функции USG.