As melhores práticas são separar o papel do firewall de rede de todo o resto. Geralmente.
O raciocínio por trás disso é que quanto mais software você corre ao lado do seu firewall, maior o risco de ficar comprometido por um bug em outro software - e se alguém comprometer seu firewall, ele é efetivamente o proprietário de sua rede (ou menos a partição do mesmo "guardada" por esse firewall).No entanto, normalmente isso é facilmente mitigado simplesmente negando o acesso do mundo externo, já que é onde a maioria das tentativas de ataques geralmente se originam. Como não há necessidade de "outsiders" estarem usando seu proxy (e muitos motivos para você querer negar isso de qualquer maneira), então você pode facilmente configurar seu firewall para eliminar / rejeitar tais conexões vindas de fora de sua rede. (De minha parte, apesar de usar o SSH para gerenciar meu firewall baseado em Linux e permitir SSH na minha rede de fora, as conexões SSH realmente recebem encaminhamento de porta para um servidor separado dentro da minha rede, do qual posso pular para o firewall Eu preciso, em vez de aceitá-los diretamente no firewall. Simplesmente porque reduz a superfície de ataque no meu firewall.)
Isso ainda deixa seu firewall exposto a ser comprometido por meio de uma vulnerabilidade no Squid de um usuário mal-intencionado dentro de sua rede. Se esse risco é sério o suficiente para justificar o esforço de instalar o Squid em uma caixa completamente separada (é possível até para um
Como em todos os problemas de segurança, é uma questão de compensações. Em caso de dúvida, no entanto, minha recomendação é seguir as melhores práticas aqui e colocar esse proxy em uma caixa separada - é melhor prevenir do que remediar, especialmente quando se fala de seu firewall!