Gosha пишет: > Hi! > > Olvin пишет: > >>>> А не нужно давать CONNECT на весь Интернет. >>>> Тем более по всем портам. >>>> Для https вполне достаточно дать CONNECT на 443 порт. >>> Так этого и будет prixifier-у достаточно. :-) >> Для этого ещё надо, чтобы именно заданный dst пропускал (как прокси) >> запросы на 443 порт. Это там у них что - открытый прокси? Или я чего-то >> не понял в исходной ситуации? > > Так дело не в том, что на том конце, а в том, что этот proxifier > получается, что использует любой разрешенный для CONNECT порт. > :-( > Т.е. если хосту с proxifier открыт метод CONNECT хоть на какой-нибудь > порт, то он минует ограничения http_access для этого хоста. > > Другое дело, что стоит прописать методу CONNECT конкретные разрешенные > dst, а все остальные запретить, но я это смогу проверить только завтра > или даже послезавтра. Хотя такое решение вызывает сомнение по поводу > https. Он нужен клиентам без конкретных dst. А если я его так открою, > то вроде получается опять дыра для proxifier-а. > Хотя я может и не прав.
Не прав.
Если ты разрешишь только https (т.е. CONNECT только на уделенный 443
порт) то proxifier может лазить только по https.
P.S. Единственное исключение - если он будет по 443 порту лезть на
другой прокси и с него дальше.
--
With Best Regards, Maxim Tyurin
JID: [EMAIL PROTECTED]
signature.asc
Description: OpenPGP digital signature
_______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
