Cách chỉ cho phép kết nối ra bên ngoài đối với các bản cập nhật

Tôi có một mạng với một số ứng dụng lưu trữ máy ảo chủ yếu để sử dụng nội bộ, nhưng chúng cũng được tiếp xúc với internet qua Traefik. Bởi vì có khả năng cuối cùng một trong số chúng sẽ bị tấn công, nên có vẻ như bạn nên chặn các kết nối ra ngoài trực tiếp đối với máy ảo. Tuy nhiên, tôi muốn có thể chạy các bản cập nhật, vì vậy tôi cần một cách để cho phép các kết nối ra bên ngoài để cập nhật. Ý tưởng hiện tại của tôi là cài đặt một máy chủ proxy (có thể là Squid), định cấu hình máy ảo để sử dụng proxy này để cập nhật và cấm tất cả các kết nối ra ngoài trực tiếp cho máy ảo trong tường lửa. Vì tôi không phải là chuyên gia CNTT nên tôi muốn nhận được một số phản hồi về ý tưởng này. Cảm ơn bạn.

Những gì bạn cần làm là:

1. Thu thập danh sách các trang web hoặc tên miền mà máy chủ cần liên lạc.
2. Cài đặt Squid, định cấu hình ACL của nó để chỉ chấp nhận kết nối từ máy chủ của bạn VÀ với danh sách các trang web bạn đã thu thập.
3. Định cấu hình máy chủ của bạn để giao tiếp với Squid và từ chối truy cập internet trực tiếp cho chúng.
4. Theo dõi nhật ký Squid cho các trang web khác mà máy chủ có thể đang cố liên lạc nhưng bạn đã bỏ lỡ việc thêm chúng vào danh sách.