[Sysadmins] Squid & Proxifier

[Maxim Tyurin]

Gosha пишет:
> Hi!
> 
> Olvin пишет:
> 
>>>> А не нужно давать CONNECT на весь Интернет.
>>>> Тем более по всем портам.
>>>> Для https вполне достаточно дать CONNECT на 443 порт.
>>> Так этого и будет prixifier-у достаточно. :-)
>> Для этого ещё надо, чтобы именно заданный dst пропускал (как прокси) 
>> запросы на 443 порт. Это там у них что - открытый прокси? Или я чего-то 
>> не понял в исходной ситуации?
> 
> Так дело не в том, что на том конце, а в том, что этот proxifier
> получается, что использует любой разрешенный для CONNECT порт.
> :-(
> Т.е. если хосту с proxifier открыт метод CONNECT хоть на какой-нибудь 
> порт, то он минует ограничения http_access для этого хоста.
> 
> Другое дело, что стоит прописать методу CONNECT конкретные разрешенные 
> dst, а все остальные запретить, но я это смогу проверить только завтра
> или даже послезавтра. Хотя такое решение вызывает сомнение по поводу
> https. Он нужен клиентам без конкретных dst. А если я его так открою,
> то вроде получается опять дыра для proxifier-а.
> Хотя я может и не прав.

Не прав.
Если ты разрешишь только https (т.е. CONNECT только на уделенный 443
порт) то proxifier может лазить только по https.

P.S. Единственное исключение - если он будет по 443 порту лезть на
другой прокси и с него дальше.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll на jabber.pibhe.com
			

----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.asc
Тип     : application/pgp-signature
Размер  : 252 байтов
Описание: OpenPGP digital signature
Url     : <http://lists.altlinux.org/pipermail/sysadmins/attachments/20071209/bad888e4/attachment-0002.bin>