理解下来，你想做的是透明代理，那就必须要结合 nat 来将流量强制转发到代理服务。否则这个管控形同虚设。 至于 https 的问题，如果你的代理服务不解密 https 不做明文审计，那就不会出现证书问题。 如果你的代理服务要做中间人解密 https ，那就需要在所有服务器上配置信任根证书。

你的服务器信任公司审计自签证书 让审计设备反代目标站 并审计全部流量

正确方式不是找 IT 走流程申请开白名单吗?

这么多人都不审题的吗，楼主就是 IT ，还怎么找 IT ？

安全无小事 遵循最佳实践都不能保证没错 自己想的方法可能漏洞一大堆 所以还是硬件上开白名单最靠谱