From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <olvin@rambler.ru>
Message-ID: <475C3C03.6000802@rambler.ru>
Date: Sun, 09 Dec 2007 21:03:31 +0200
From: Olvin <olvin@rambler.ru>
User-Agent: Thunderbird 2.0.0.0 (X11/20070326)
MIME-Version: 1.0
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
References: <475B7BD7.804@anti.su>	<1099.194.85.247.252.1197190396.squirrel@webmail.ieml.ru>	<475BB724.9000909@anti.su>	<3660.194.85.247.252.1197194259.squirrel@webmail.ieml.ru>	<475BBE4A.80908@anti.su>	<475BD9B6.2090109@bungarus.info>	<475BE351.2080808@anti.su>	<475BEB9F.6060108@rambler.ru>
	<475C06A1.1030506@anti.su>
In-Reply-To: <475C06A1.1030506@anti.su>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [Sysadmins] Squid & Proxifier
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.9
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sun, 09 Dec 2007 19:03:33 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/475C3C03.6000802@rambler.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Gosha пишет:
>>>> А не нужно давать CONNECT на весь Интернет.
>>>> Тем более по всем портам.
>>>> Для https вполне достаточно дать CONNECT на 443 порт.
>>> Так этого и будет prixifier-у достаточно. :-)
>> Для этого ещё надо, чтобы именно заданный dst пропускал (как прокси) 
>> запросы на 443 порт. Это там у них что - открытый прокси? Или я чего-то 
>> не понял в исходной ситуации?
> Так дело не в том, что на том конце, а в том, что этот proxifier
> получается, что использует любой разрешенный для CONNECT порт.

использовать можно попытаться, а получится ли? Если у меня разрешёно 
соединение на 443 порт какой-либо машины, но там на этом порту ничего не 
слушает, то ломись-не ломись, а ничего не получится.

> Т.е. если хосту с proxifier открыт метод CONNECT хоть на какой-нибудь 
> порт, то он минует ограничения http_access для этого хоста.

Не минует.

> Другое дело, что стоит прописать методу CONNECT конкретные разрешенные 
> dst, а все остальные запретить, но я это смогу проверить только завтра
> или даже послезавтра. Хотя такое решение вызывает сомнение по поводу
> https. Он нужен клиентам без конкретных dst.

Вот в этом и причина того, что лезет куда попало. А почему нельзя 
разрешить только на конкретных dst? Странно как-то...