From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <batyrshin@ieml.ru>
Message-ID: <1099.194.85.247.252.1197190396.squirrel@webmail.ieml.ru>
In-Reply-To: <475B7BD7.804@anti.su>
References: <475B7BD7.804@anti.su>
Date: Sun, 9 Dec 2007 11:53:16 +0300 (MSK)
From: "Timur Batyrshin" <batyrshin@ieml.ru>
To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org>
User-Agent: SquirrelMail/1.4.9a
MIME-Version: 1.0
Content-Type: text/plain;charset=utf-8
Content-Transfer-Encoding: 8bit
X-Priority: 3 (Normal)
Importance: Normal
X-SpamTest-Version: SMTP-Filter Version 3.0.0 [0255], KAS30/Release
X-SpamTest-Info: Not protected
X-Anti-Virus: Kaspersky Anti-Virus for MailServers 5.5.10/RELEASE,
	bases: 09122007 #447397, status: clean
Subject: Re: [Sysadmins] Squid & Proxifier
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.9
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sun, 09 Dec 2007 08:53:17 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/1099.194.85.247.252.1197190396.squirrel@webmail.ieml.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>


В письме от Вск, 09 Дек 2007, 08:23 Gosha пишет:
> С удивлением обнаружил следующее.
> В настройках squid доступ в и-нет
> регулируется вот таким образом:
>
> acl AllowDomains dstdomain .разрешенный.домен
>
> acl HOST1 src ip-адрес
>
> http_access allow HOST1 AllowDomains
>
> Все работает нормально. Пускает на
> разрешенные домены и больше никуда.
>
> Изучая отчет, сгенерированный sarg-ом, с
> удивлением обнаружил,
> что одна из машин сети спокойно посещает
> в и-нете все что угодно.
> Оказалось, что "пытливый" пользователь
> (Windows) установил себе
> программу Proxifier:
>
> http://www.proxifier.com/documentation/intro.htm
>
> ее основное предназначение - выпускать
> через прокси те приложения,
> которые самостоятельно этого делать не
> умеют, однако она же спокойно
> каким-то образом обходит установленные
> у меня в squid-е ограничения
> в виде dstdomain. Единственно, если прописать
> для этой машины:
> http_access deny HOST1, то тогда машина полностью
> блокируется от
> доступа в и-нет даже с этой интересной
> программой, а как только
> появляется любой ограничивающий http_access
> allow HOST1 ....
> спокойно плюет на все ограничения.
>
> Может кто сталкивался с таким и знает
> как средствами squid-а "побороть"
> эту замечательную программу?

Нужно запретить метод http CONNECT
Примерно так:

acl CONNECT method CONNECT
http_access deny CONNECT