[Sysadmins] Squid & Proxifier

[Olvin]

Gosha пишет:
>>>> А не нужно давать CONNECT на весь Интернет.
>>>> Тем более по всем портам.
>>>> Для https вполне достаточно дать CONNECT на 443 порт.
>>> Так этого и будет prixifier-у достаточно. :-)
>> Для этого ещё надо, чтобы именно заданный dst пропускал (как прокси) 
>> запросы на 443 порт. Это там у них что - открытый прокси? Или я чего-то 
>> не понял в исходной ситуации?
> Так дело не в том, что на том конце, а в том, что этот proxifier
> получается, что использует любой разрешенный для CONNECT порт.

использовать можно попытаться, а получится ли? Если у меня разрешёно 
соединение на 443 порт какой-либо машины, но там на этом порту ничего не 
слушает, то ломись-не ломись, а ничего не получится.

> Т.е. если хосту с proxifier открыт метод CONNECT хоть на какой-нибудь 
> порт, то он минует ограничения http_access для этого хоста.

Не минует.

> Другое дело, что стоит прописать методу CONNECT конкретные разрешенные 
> dst, а все остальные запретить, но я это смогу проверить только завтра
> или даже послезавтра. Хотя такое решение вызывает сомнение по поводу
> https. Он нужен клиентам без конкретных dst.

Вот в этом и причина того, что лезет куда попало. А почему нельзя 
разрешить только на конкретных dst? Странно как-то...