From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <gosha@anti.su>
Message-ID: <475CC3FB.4080609@anti.su>
Date: Mon, 10 Dec 2007 09:43:39 +0500
From: Gosha <gosha@anti.su>
User-Agent: Thunderbird 2.0.0.6 (X11/20071022)
MIME-Version: 1.0
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
References: <475B7BD7.804@anti.su>	<1099.194.85.247.252.1197190396.squirrel@webmail.ieml.ru>	<475BB724.9000909@anti.su>	<3660.194.85.247.252.1197194259.squirrel@webmail.ieml.ru>	<475BBE4A.80908@anti.su>	<475BD9B6.2090109@bungarus.info>	<475BE351.2080808@anti.su>	<475BEB9F.6060108@rambler.ru>	<475C06A1.1030506@anti.su>
	<475C3563.4090004@bungarus.info>
In-Reply-To: <475C3563.4090004@bungarus.info>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [Sysadmins] Squid & Proxifier
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.9
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Mon, 10 Dec 2007 04:43:40 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/475CC3FB.4080609@anti.su/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Hi!

Maxim Tyurin пишет:

>> Другое дело, что стоит прописать методу CONNECT конкретные разрешенные 
>> dst, а все остальные запретить, но я это смогу проверить только завтра
>> или даже послезавтра. Хотя такое решение вызывает сомнение по поводу
>> https. Он нужен клиентам без конкретных dst. А если я его так открою,
>> то вроде получается опять дыра для proxifier-а.
>> Хотя я может и не прав.
> 
> Не прав.
> Если ты разрешишь только https (т.е. CONNECT только на уделенный 443
> порт) то proxifier может лазить только по https.

Он именно так и делает. В его настройках по-умолчанию видно, что
лезет он именно по https и даже вписаны порты 443 и еще пятьсот-какойто, 
на память сейчас не помню. Хотя там есть возможность прописать и любой 
другой порт.

> P.S. Единственное исключение - если он будет по 443 порту лезть на
> другой прокси и с него дальше.

Он возможно так и делает. Хотя в его доке не очень освещено все это,
сказано только, что:

- Bypass firewall restrictions (connect to restricted ports).
- Use three types of proxy servers: SOCKS v4, SOCKS v5, and HTTP.

-- 
Best regards!
Gosha