[Sysadmins] Squid & Proxifier

[Gosha]

Hi!

Olvin пишет:

>>> А не нужно давать CONNECT на весь Интернет.
>>> Тем более по всем портам.
>>> Для https вполне достаточно дать CONNECT на 443 порт.
>> Так этого и будет prixifier-у достаточно. :-)
> 
> Для этого ещё надо, чтобы именно заданный dst пропускал (как прокси) 
> запросы на 443 порт. Это там у них что - открытый прокси? Или я чего-то 
> не понял в исходной ситуации?

Так дело не в том, что на том конце, а в том, что этот proxifier
получается, что использует любой разрешенный для CONNECT порт.
:-(
Т.е. если хосту с proxifier открыт метод CONNECT хоть на какой-нибудь 
порт, то он минует ограничения http_access для этого хоста.

Другое дело, что стоит прописать методу CONNECT конкретные разрешенные 
dst, а все остальные запретить, но я это смогу проверить только завтра
или даже послезавтра. Хотя такое решение вызывает сомнение по поводу
https. Он нужен клиентам без конкретных dst. А если я его так открою,
то вроде получается опять дыра для proxifier-а.
Хотя я может и не прав.

--
Best regards
Igor Solovyov