<div dir="ltr">I decided it'd be easier & safer to host squid-deb-proxy in a LXD container rather than the host. My host doesn't route inbound to LXD from other networks, and all the Juju machines can see it.</div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Aug 16, 2016 at 12:30 AM, John Meinel <span dir="ltr"><<a href="mailto:john@arbash-meinel.com" target="_blank">john@arbash-meinel.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div>...<br></div></div></div></blockquote><span class=""><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><font face="monospace">+### tuple ### allow any 8000 <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> any <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> in</font></div><div><font face="monospace">+-A ufw-user-input -p tcp --dport 8000 -j ACCEPT</font></div><div><font face="monospace">+-A ufw-user-input -p udp --dport 8000 -j ACCEPT</font></div><div><font face="monospace">+</font></div><div><br></div></div></div></div></blockquote><div><br></div></span><div>If I'm reading this one correctly, it also means that anyone from <b>any</b> IP address (not restricted to your local network). So anyone that can get to port 8000 on your machine can proxy to any other public website. Now, I'd guess that you also run a NAT router so this may not actually be opening up an open proxy for the world to access, but it seems a little bit iffy to put into a general guide.</div><div><br></div><div>John</div><div>=:-></div><div><br></div></div></div></div>
</blockquote></div><br></div>