запрет php-proxy на хостинге

Посчитайте траф и включите в счет. Делов то. А так - КАК и ЗАЧЕМ нормальные приложения пользуют курл и сокет? Если локально и междусобойчик - то тупо обрезать исходящие на 80й порт. Можно еще локальный ресолвер подкрутить вплоть до полной невменяемости.

apache запущен от www-data, особо не посчитаешь, кто сколько накрутил трафика.

Тем более закрыть 80-й порт тоже не выход - прокси на сокетах юзают произвольные порты

сервер сам может ходить на 80 порт? нет!

=>запретить локалхосту инициировать исходящие соединения на 80 порт.

ipfw add deny tcp from me to any dst-port 80

или какой у вас там фаерволл...

[quote]прокси на сокетах юзают произвольные порты[/quote] Фаерволлом закрыть _все_ порты - не решение.

Какие все? Только восьмидесятый!

Особо посчитаешь. Да банально через логи. Добавить имя хоста в лог, а размер и так пишется. Или скрипты поправить, что бы при заведении хоста ему назначался персональный лог (если уже не сделано)

прокси на сокетах юзают произвольные порты

локальные сокеты/порты лезут куда?

на 80й порт других хостов, разве нет?

Фаерволлом закрыть _все_ порты - не решение.

все и не нужно. надо только запретить исходящие соединения на 80 порт.

по моему это на 99% решит проблему, либо условие написано неправильно.

закрыть исходящие коннекты на порт 80, открывать по требованию. Это нормальная практика.

Можно использовать allow_url_fopen = off для таких пользователей. Не?

если apache работает с itk то заведи на каждого юзера, в исходящей цепочке привязку к GID/UID и считай прямо из iptables
костыль конечно, но работать будет, также можеш запретить для определенных юзеров исходящий траф.

iptables -I OUTPUT -p tcp -m multiport --sport 80 -j DROP Я отлично забанил прокси и ответы сервера.

Вам нужно запретить устанавливать новые соединения на удаленный 80 (443) порты. Как-то так:

iptables -I OUTPUT -p tcp -m state --state NEW --dport 80 -j DROP