Запретить метод CONNECT?

Не включай NAT, а для соединений используй различные proxy...

Программы, которые он перечислил, именно прокси и используют :)

Да, точно, как-то я так невнимательно прочитал...

Ну тогда, да, ты прав.. :-) метод CONNECT плюс ограничение по портам плюс какие-либо методы аутентификации пользователей на проксе...

Просветите пожалуйста :)

Что это за программы такие и как с помощью них можно обойти squid? Я раньше по своей наивности думал, что если программа идет через squid то это squid решает пускать или нет в Интернет а не программа.

vova07, последнее сообщение перепиши на русском.

Если просто запретить connect, то юзеры останутся без аси и ssl. А на многих предприятиях хотябы одно из двух необходимость.

для этог есть NAT

Да но тогда, для сохранение контроля над трафиком, нужны другие протоколы (log), помимо squid. Я поступил проще, закрыл доступ к squid снаружи вообще (так-как от connect атак защититься у меня не получилось). А со своими внутри сети разобраться будет не трудно, так-как эти вещи очень ярко засвечиваются в логах squid.

>а но тогда, для сохранение контроля над трафиком, нужны другие протоколы (log), помимо squid

Естественно. Просто либо это, либо connect - нет счастья в жизни :)

Верно ли я понял: как вариант можно закрить CONNECT (тогда вопрос: именно его програмы и используют, и без него ничего не смогут сделать ?????)...

" так-как эти вещи очень ярко засвечиваются в логах squid" какие именно вещи ????? обясните .....

Лучше всего, в твоем случае, почитать доку на сквид и эти программы :)

squid.opennet.ru рулит, а про http-port и т.д. есть в гугле

даже если я и найду, то не буду уверен как сделать и будет ли так хорошо ...... А если Ви знаете то могли б и подсказать ... для того и создан форум (я так думаю)....

>даже если я и найду, то не буду уверен как сделать и будет ли так хорошо

это только сначала, а вот после активного чтения документации - как рукой снимет... :) squid.opennet.ru никто не отменял :)

>Верно ли я понял: как вариант можно закрить CONNECT

ага, более-менее верно :) Почему у тебя вместо Ы, буквы И везде?

Да закрываешь CONNECT с помощью iptables, т.е. не сам CONNECT, все входящие с наружи пакеты на порт (например 3128) и к твой проксе никто снаружи не законектится. И все будет работать и ICQ и SSL и FTP и HTTP. А если кто-то изнутри попробует хакнуть, то cat access.log ;-) и разборки. И конечно-же без доки смысл всего не поймешь. Единственное исключение это CONNECT, по документации его можно ограничить через acl, а по жизни не получается.