Host.Community | hcom.link

Поднял в организации прозрачный прокси squid 3.5.8 для ограничения доступа к сайтам, в идеале надо сделать так, чтобы можно было заходить только на 2 https сайта и 2 http. Прокси прозрачный, работает с http и https, представленный ниже конфиг отлично работает в сценарии черного списка, вырезает все записанные сайты. А вот как преобразовать конфиг так, чтобы все работало ровно наоборот, ума не приложу, если меняешь
http_access deny whitelist на http_access deny !whitelist и
ssl_bump terminate blocked на ssl_bump terminate !blocked
то должным образом работает фильтрация только http трафика, а если строку
http_access deny !whitelist
ставить после
http_access allow localnet, а не перед ней, то корректно отрабатывают правила фильтрации только https трафика.
В общем, запутался в одной сосне, помогите кто-нибудь)

Конфиг кальмара:

acl localnet src 2.2.2.0/24

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp

Пытаюсь настроить прозрачный прокси. Почитал гайды, вроде настроил, но не работает, интерфейсы пингуются. Прошу помочь в настройке. Прикладываю настройки squid, лог работы, настройки интерфейсов.
squid.conf
#Разрешаем доступ из своей сети acl localnet src 10.86.0.0/24 acl localnet src 192.168.0.0/24 #Набор правил для доступа acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # HTTP доступ http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost manager http_access deny manager http_access allow localhost http_access deny all # Порт и IP-адрес сервера http_port 3128 intercept http_port 192.168.2.1:3128 transparent # Допустимый обьем памяти ОЗУ cache_mem 1024 MB # Максимальный и минимальный размер кэшируемого файла maximum_object_size_in_memory 512 KB maximum_object_size 4 MB # Директория кэша и размер cache_dir ufs /var/spool/squid 2048 16 256 # Делаем прокси анонимным via off forwarded for delete
interfaces
# This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). source /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback # WAN Interface auto enp3s2 iface enp3s2 inet static address 10.86.0.18 netmask 255.255.255.0 gateway 192.168.0.1 # LAN Interface auto enp1s0 iface enp1s0 inet static address 192.168.2.1 netmask 255.255.255.0 post -up /etc/nat

ОС — Ubuntu Server 16.04 на VPS
uname -a
Linux andrewg 2.6.32-042stab108.5 #1 SMP Wed Jun 17 20:20:17 MSK 2015 x86_64 x86_64 x86_64 GNU/Linux

Конфиг-файл (grep -v "^$\|^#" /etc/squid/squid.conf)
auth_param basic realm ***? auth_param basic program /etc/webmin/squid/squid-auth.pl /etc/webmin/squid/users acl Auth proxy_auth REQUIRED http_access allow Auth http_access deny all http_port **** tcp_outgoing_address ***.***.***.*** cache_dir ufs /var/spool/squid3 256 16 256 cache_log /var/log/squid/squid.log coredump_dir /var/spool/squid3 pinger_enable off refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880 refresh_pattern. 0 20% 4320 cache_effective_user proxy dns_v4_first on cache_effective_group proxy via off forwarded_for delete

В качестве программы авторизации используется то, что предоставляет webmin.

squid -v
Squid Cache: Version 3.5.12 Service Name: squid Ubuntu linux configure options: '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--