CityCat4

без необходимости каких либо манипуляций с браузером у сотрудников

нужно про кто куда заходит

Данная задача не имеет решения.

Чтобы раскрывать https-соединения, нужен bumping. Bumping не настроить без доверенного сертификата. Довернный сертификат нужно распространять по всем компьютерам. Первое условие - оно ведь на самом деле читается как "я не хочу заниматься инструктированием юзеров/я не умею настраивать глобальные политики/у меня нет авторитета и юзера меня шлют на ... юг", потому что какая бы ни была большая контора - все это делается достаточно быстро - если конечно на это есть распоряжение начальства, а не собственная хотелка.

Технического решения нет, потому что задача не техническая, а административная.

может быть такое, если пытаетесь выполнить скрипт, не имеющий атрибута выполнения
может быть неполноценный линух - VPS с общим ядром
могут быть модно-стильно-молодежные средства безопасности в линухе

При условии, что у отдельного сервера белый статический IP - можно.

Клиент А коннектится к серверу, клиент Б коннектится к серверу, сервер передает пакеты от клиента А к клиенту Б. Так нарпимер TeamViewer работает. Самый простой случай - VPN от сервера до А, и VPN до Б, сервер делает маршрутизацию.

Какой VPN - на Ваше усмотрение, какой сможете поставить. Обычно или openvpn или strongswan/racoon (который реализует IPSec)

а где -A FORWARD -p udp -j DROP?

Ну, вот так например я ssh разрешаю

-A INPUT -p tcp --dport 22 -m set --match-set anynodes src -j ACCEPT
-A OUTPUT -p tcp --sport 22 -m set --match-set anynodes dst -j ACCEPT

где anynodes - это сет, определенный в ipset например вот так:

create anynodes hash:net family inet hashsize 1024 maxelem 65536 
add anynodes 10.7.1.0/24 
add anynodes 10.7.3.0/24

Разумеется по умолчанию пристреливать

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

man ipset

"Не бывает" (С) Чародеи

Я всем рекомендую эту картинку, которая нагляднее некуда показывает, как пакеты проходят netfilter
Вот неплохая статья

Никак (делаю удивленную морду).

iptables - программа управления линуховым файрволлом, к винде она никакого отношения не имеет

Статью по iptables порекомендовать? :) Запросто - Вот

UPD: Не задавайте два вопроса в одном.

Для бампинга нужна достаточно специфичная конфигурация squid, которая позволяет писать лог так же, как это было без https.

Маркируете трафик и дропаете его как только он попадает в FILTER. Не надо пытаться забивать молотком шурупы - для этого отвертка есть.
Вот как я например глушу прилетающие "снаружи" пакеты с RFC1918-адресами: (формат iptables-restore)

*mangle
-A PREROUTING -i eth0 -m set --match-set rfc1918 src -j MARK --set-mark 1
*filter
-A INPUT -m mark --mark 1 -j DROP

Сет rfc1918 - это таблица, которую составляет ipset:

create rfc1918 hash:net family inet hashsize 1024 maxelem 65536 
add rfc1918 10.0.0.0/8
add rfc1918 172.16.0.0/12
add rfc1918 192.168.0.0/16

С его помощью запросто организовать доступ к ssh например только для определенного списка адресов, а всех остальных дропать.

А строка 12 - это какая строка?

Я не знаю, как ведет себя циска - это Вам в гугл - но в линухе за маршрутизацию IPSec отвечает не таблица маршрутизации, а SPD (Security Policy Descriptor), ну то есть таблица SPD конечно же. В обычном линухе ее строит strongswan ну или другой IKE-демон, можно и вручную, хоть криво и долго.

FTP - очень старый протокол, разработанный в эпоху "безопасного Интернета", которая кончилась где-то в 2004 году... У него два порта и два направления трафика - порт управления и порт данных. И два режима - активный и пассивный. Порт 21 - это порт управления, по нему отдают команды. А вот все данные, даже оглавление папок передается по порту 20 - ftp-data. И тут как раз играет рояль - активный или пассивный (поручики, молчать!).
Активный сервер отдает клиенту порт, по которому он будет подключаться к клиенту и передавать данные. Пассивный ждет порт от клиента, но подключаться все равно будет сам.

iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Берете доку по iptables и переводите, что написали, на русский:

Если порт назначения 22, то пакет принять. Точка Никаких условий про ограничение доступа нет.

Сделать можно например вот так (предварительно нужно поставить ipset, если не установлен, создать сет setname, где перечисляются нужные IP, например вот так:

create setname hash:ip family inet hashsize 1024 maxelem 65536 
add setname 1.2.3.4
add setname 1.3.4.5

)

-A INPUT -p tcp --dport 22 -m set --match-set setname src -j ACCEPT
-A INPUT -p tcp --dport 22 -j DROP

Никак.

Для отдельных приложений можно - например для торрентокачалки - за счет того, что она потащит часть блоков с одного интерфейса, часть с другого. Но это не суммирование, это распараллеливание. Тупо "сложить" каналы не получится. И об этом уже много-много раз писали - "умный" маршрутизатор может использовать два интерфейса параллельно - запрос туда, запрос сюда, что создаст некую иллюзию широкого канала. Но качать один файл (или например в танчики играть) на скорости, равной сумме скоростей обеих провайдеров не получится.

Не знаю, как насчет тора, но вообще "прозрачный прокси" - это такой прокси, для работы которого не нужно менять настроек. То есть браузер думает, что работает напрямую, а его запросы втихушку перенаправляются на прокси.

RouterOS не позволяет работать с таблицей raw. Совсем. Можно конечно на форуме микротика поспрашивать - сделали же они в конце концов IKEv2 :)