Hi! Olvin пишет:
>>> А не нужно давать CONNECT на весь Интернет. >>> Тем более по всем портам. >>> Для https вполне достаточно дать CONNECT на 443 порт. >> Так этого и будет prixifier-у достаточно. :-) > > Для этого ещё надо, чтобы именно заданный dst пропускал (как прокси) > запросы на 443 порт. Это там у них что - открытый прокси? Или я чего-то > не понял в исходной ситуации? Так дело не в том, что на том конце, а в том, что этот proxifier получается, что использует любой разрешенный для CONNECT порт. :-( Т.е. если хосту с proxifier открыт метод CONNECT хоть на какой-нибудь порт, то он минует ограничения http_access для этого хоста. Другое дело, что стоит прописать методу CONNECT конкретные разрешенные dst, а все остальные запретить, но я это смогу проверить только завтра или даже послезавтра. Хотя такое решение вызывает сомнение по поводу https. Он нужен клиентам без конкретных dst. А если я его так открою, то вроде получается опять дыра для proxifier-а. Хотя я может и не прав. -- Best regards Igor Solovyov _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
