Кот Абсолютный

Пардон, вот это классический пример того, что бывает, когда вместо вникания в суть - ограничиваемся копипастом :)

Авторизация в сквиде - это отдельная тема десятка статей :) Она делается не менее чем тремя способами, но актуален в настоящее время только один - через negotiate_kerberos_auth. Там довольно длинная процедура, я ее уже плохо помню, была статья в "Системном администраторе", давненько правда, еще в 2012 году. Статья называлась "Squid + AD - samba"
Создается учетка в AD
К ней вяжется принципал через ktpass (это виндовая команда)
Этот принципал указывается в конфиге сквида и получается что-то типа:

auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/proxy.keytab -s HTTP/fat.zhopa.ruchka@ZHOPA.RUCHKA
auth_param negotiate children 30 startup=0 idle=1
auth_param negotiate keep_alive on

Если нужно рулить еще и группами (а иначе зачем wbinfo_group.pl?) - то в том же Системном администраторе в прошлом году незадолго до того, как ему сдохнуть - была статья про управление группами

nmap и tcpdump - это вовсе не "банальные" утилиты. Они с ведром взаимодействуют. Непонятно - зачем было переходить на винду, чтобы использовать WSL (это примерно то же самое, что перейти на линух, чтобы использовать виндовые программы в wine)

Памяти Вам все равно не хватит :) По 4G на винду и по гигу на линух (а то и больше) = 14G, на систему не остается нифига. А вообще, если знаете винду - ну и ставьте Hyper-V

Специалисты по ИБ спросят сразу:
Давайте начнем с определения, что такое по-Вашему "приватность"? Чего конкретного хочется добиться?

Лично я сижу на FF (AdBlock + NoScript + Blur + BetterPrivacy)

Какие шаги для этого необходимо сделать?

1. Ознакомиться с главой 70 Гражданского Кодекса и понять, как лоханулись
2. Составить договор на передачу исключительных прав (или какой еще - читайте ГК)
3. Подписать и помнить про неотчуждаемые права

Что сейчас не так? А сейчас формально между вами нет никаких обязанностей - разраб сделал прогу для себя, а Вам дал похвастаться, но все права в данный момент принадлежат ему. А если Вы ему денег заплатили - Вы ему просто подарили их - раз нет договора, нет и выполненной работы :)

swanctl -l?
ip xfrm policy list?

а также посмотреть здесь:
cat /proc/net/xfrm_stat - нет ли там ошибок при обработке пакетов

У меня был случай, когда микротик со шваном не хотели работать из-за того, что микротик использовал какую-то свою реализацию SHA256, но это было давно.

Как правило, РТК свои роутеры не продает, а сдает в аренду. То есть железка есть, но ... ее нет. У Вас есть юзерский логин (может быть), который дает кое-что там покрутить, никаких системных настроек Вам там не поменять.
Чтобы можно было и тырнет и управлять - если есть возможность, сделать из РТК-шного чисто конвертер интерфейсов/мост, за ним поставить собственный роутер и там уже настраивать, че надо. Если конечно РТК согласится.

Я боюсь что мой системник постигнет та же участь.

Это часть работы системного администратора - знать такие вещи, в тех случаях когда нет выделенного ИБ-шника (а такое очень часто)

1. у телефонов обычно (если сами не заказывали обратного, причем за деньги) серые IP, к ним невозможно подключиться, между Вашим телефоном и тырнетом - NAT опсоса.
2. для успокоения паранойи настроить на бубунте правило, блокирующиее RDP с интерфейса wifi. Можно вообще все запросы на установление соединения "изнаружи" слать в сад.

На работе старший программист пробросил порт на роутере, чтобы из дома настроить сервер, этим воспользовались злоумышленники

Такого прости-Господи-старшего-программиста надо в качестве профилактики отправлять работать санитаром. Пусть недельку помоет сортиры и повыносит горшки - это здорово помогает в переосмыслении своей значимости в мире :) RDP - излюбленная цель хакеров и "какеров", причем последних заметно больше чем первых.

Для удаленного доступа есть VPN
Для избежания таких вот "ситуэйшн" должен быть бэкап.

Мой ник опозорен на весь интернет.

Правда? А я не в курсе - значит не на весь :)

Просто жалко аккаунт и репутацию.

А что случилось-то? И, кстати, разве стим принимает сообщения от незнакомых людей?

А что надо? Работа почты основана на почтовых стандартах, вот с них и начните.

Если crm.ru за NAT, это означает, что без проброса портов site-2.ru никак (ну вот от слова совсем) не сможет инициировать к ней соединение. Либо он сигналит на site.ru, чтобы crm.ru сама установила соединение с site-2.ru, либо нужно пробросить порт, по которому site-2.ru отошлет команду к crm.ru

Поставить надо ESXi - одинокий сервер бесплатно дадут. Внутри поднимать чего угодно, правда управлять всем этим хозяйством изнутри нельзя (без извратов). Если нужно непременно все на одном компе - линух, KVM (qemu + libvirt), оснастка управления и то же самое, только немного по-другому.

В текущих условиях задача не имеет решения.

Нужен прокси, умеющий бампинг, squid например. Без бампинга статистика будет неверной (зашел юзер по https на ничем не примечательный metrichesky-krepeg.ru - а это им же управляемый сайт, внутри которого переходы на вконтактик и tightwetholes.com :) И хрен Вы догадаетесь, что юзер сейчас смотрит порно и соцсети :) )

Можно я перечислю все то, что меня не устраивает в Вашем вопросе? :)

Если Вы про СМП типа Стахановца, то бреетесь - на комп юзера Вы ничего поставить не можете - он не корпоративный, может у него там семейное порно сложено :) Разве только корпоративный ноут даете с буфером СМП на восемь часов или VPN в конторскую сеть.

Обычно после приобретения VPS на нем поднимают VPN, спаривают его с микротиком и не трахают себе мозги натами и не-натами. Правда, судя по описанию VPS у Вас ненастоящий - в настоящем доступны все 65535 портов.