Cum să permiteți conexiunile de ieșire numai pentru actualizări

Am o rețea cu un număr de VM-uri care găzduiesc aplicații în principal pentru uz intern, dar sunt expuse și la internet prin Traefik. Deoarece există șansa ca unul dintre ele să fie piratat în cele din urmă, pare o idee bună să blocați conexiunile directe de ieșire pentru VM. Dar, vreau să pot rula actualizări, așa că am nevoie de o modalitate de a permite conexiuni de ieșire pentru actualizări. Ideea mea actuală este să instalez un server proxy (probabil Squid), să configurez mașinile virtuale să utilizeze acest proxy pentru actualizări și să interzic toate conexiunile directe de ieșire pentru mașinile virtuale din firewall. Deoarece nu sunt un profesionist IT, aș dori să primesc câteva feedback despre această idee. Mulțumesc.

Ce trebuie să faci este:

1. Adunați o listă de site-uri web sau domenii cu care serverele trebuie să comunice.
2. Instalați Squid, configurați-i ACL-ul pentru a accepta doar conexiunea de la serverele dvs. ȘI la lista de site-uri web pe care ați adunat-o deja.
3. Configurați-vă serverele pentru a comunica cu Squid și le interziceți accesul direct la internet.
4. Monitorizați jurnalele Squid pentru alte site-uri web cu care serverele ar putea încerca să comunice, dar ați ratat să le adăugați în listă.