From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <475C06A1.1030506@anti.su> Date: Sun, 09 Dec 2007 20:15:45 +0500 From: Gosha User-Agent: Thunderbird 2.0.0.6 (X11/20071022) MIME-Version: 1.0 To: ALT Linux sysadmin discuss References: <475B7BD7.804@anti.su> <1099.194.85.247.252.1197190396.squirrel@webmail.ieml.ru> <475BB724.9000909@anti.su> <3660.194.85.247.252.1197194259.squirrel@webmail.ieml.ru> <475BBE4A.80908@anti.su> <475BD9B6.2090109@bungarus.info> <475BE351.2080808@anti.su> <475BEB9F.6060108@rambler.ru> In-Reply-To: <475BEB9F.6060108@rambler.ru> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [Sysadmins] Squid & Proxifier X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.9 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 09 Dec 2007 15:15:46 -0000 Archived-At: List-Archive: Hi! Olvin пишет: >>> А не нужно давать CONNECT на весь Интернет. >>> Тем более по всем портам. >>> Для https вполне достаточно дать CONNECT на 443 порт. >> Так этого и будет prixifier-у достаточно. :-) > > Для этого ещё надо, чтобы именно заданный dst пропускал (как прокси) > запросы на 443 порт. Это там у них что - открытый прокси? Или я чего-то > не понял в исходной ситуации? Так дело не в том, что на том конце, а в том, что этот proxifier получается, что использует любой разрешенный для CONNECT порт. :-( Т.е. если хосту с proxifier открыт метод CONNECT хоть на какой-нибудь порт, то он минует ограничения http_access для этого хоста. Другое дело, что стоит прописать методу CONNECT конкретные разрешенные dst, а все остальные запретить, но я это смогу проверить только завтра или даже послезавтра. Хотя такое решение вызывает сомнение по поводу https. Он нужен клиентам без конкретных dst. А если я его так открою, то вроде получается опять дыра для proxifier-а. Хотя я может и не прав. -- Best regards Igor Solovyov