Запрет пользования сторонними проксями

Очень смешно...
Причем все пункты.

А что смешного, задача я думаю не у меня одного подобная есть. Если ответить нечего, то и писать зачем.

Нашел вот такую прогу - DansGuardian. Это фильтр по контенту, поидее должен работать в связке с Squid. Разбирался кто с этой прогой?

> Да и еще, может кто знает чем отличается запрос браузера с включонной галкой работать через прокси и без нее тоесть работать на прямую?

Пользватели в обход твоего прокси в Интернет лезут через NAT? Это надо iptables крутить. А в сквиде запретить метод connect (на порт 443 можно оставить, или вообще разрешить только на определенные сайты).

Парень, ты просто не понимаешь ситуации, и все. Выясни для разнообразия что такое CONNECT, подумай КАК твой пользователь попадет на посторонние прокси (hint: это сильно зависит от настроек iptables), и твой вопрос просто отпадет. А отвечать на него таки нечего, и скажу больше -- никто тебе ничего не ответит, кроме двух вариантов: 1) пионера, который как ты не понимает сути происходящего 2) кого-то, кому не лень тебе все растолковать подробно.

>Да и еще, может кто знает чем отличается запрос браузера с включонной галкой работать через прокси и без нее тоесть работать на прямую?

А, пардон, не заметил этой фразы. Да, спаршивающий реально не в теме. В общем иди выясни, как работает прокси -- сильно поможет.

Форум как я понимаю как раз и служит для обучения и узнавания, я не профи в проксях поэтому и спрашиваю. И сильно надеюсь что здесь найдуться люди кто сможет посоветовать что-то дельное, а не пыжиться раздувая щеки и кричать во все горло какой он крутой. Для Zulu, если есть что сказать скажи тольком, предлогаешь почитать - дай ссылку по теме вопроса.

Настройки прокси следующие: в инет закрыт весь трафик по всем портам кроме DNS сквид настроен в прозрачном режиме слушает 3128 iptables перехватывает пакеты с 80 порта и отсылает сквиду на 3128, прямой выход на порт 3128 с других машин кроме локалхост закрыт.

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Jabber_ports port 5222
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70      # gopher
acl Safe_ports port 210     # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280     # http-mgmt
acl Safe_ports port 488     # gss-http
acl Safe_ports port 591     # filemaker
acl Safe_ports port 777     # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports !Jabber_ports

Где ошибка?

Рекомендую почитать доки по информационной безопасности.

У более-менее думающего человека для firewall'а политика такая: "сначала всё запретить, потом нужное разрешить"

1) Рекомендую почитать доку к сквиду, раздел каскадного проксирования, прежде чем задавать такой глупый вопрос. Благо, доки к нему в рунете навалом, да и умолчательный конфиг ОЧЕНЬ документирован. Пока ты явно в конфиге не задашь сквиду, кто у него парент-прокси, он на него не пойдёт.

2) Опять же, поищи доки и по сквиду и по iptables. Есть даже на русском.

Тут я рекомендую почитать RFC. Также, для понимания этого существует целый сонм программ, которые показывают трафик в human readable виде(ethereal/etc). Запусти программу, пусти запрос через прокси и без неё - сразу увидишь разницу.

> , прямой выход на порт 3128 с других машин кроме локалхост закрыт.

Зачем? Зачем ставить прокси и запрещать им пользоваться?

У меня много правил запрета в iptables, если открыть
порт сквида напрямую без прозрачности то эти ограничения
будут обойдены.

По поводу прокси, разобрался, то что я принял за прокси,
которым пользуются юзера вроде и не прокси, в логах сквида
есть такие строки:

1127907852.014      5 192.168.0.4 TCP_CLIENT_REFRESH_MISS/200 1233 GET http://205.188.248.209/monitor? - DIRECT/192.168.0.10 text/html
1127907852.024      5 192.168.0.4 TCP_CLIENT_REFRESH_MISS/200 1233 GET http://205.188.248.209/monitor? - DIRECT/192.168.0.10 text/html
1127920705.464      5 192.168.0.4 TCP_CLIENT_REFRESH_MISS/200 1233 GET http://205.188.248.208/monitor? - DIRECT/192.168.0.10 text/html

Что а хрень такая? Трафика натянуто не меренно.
Ip 205.188.248.209 какае то хрень связанная c ICQ.
Но не понятно что ICQ тянуло по 80 порту, да еще с такого странного адреса.

Есть ещё такая вещь как анонимайзеры, а они и с шифрованием могут быть. :)

> У меня много правил запрета в iptables, если открыть порт сквида напрямую без прозрачности то эти ограничения будут обойдены.

Ещё раз говорю - прочитай iptables tutorial, потому-что говоришь чушь.

А может просто сдедать в фаерволе такую штуку:
запросы на стандартные порты прокси серверов, перенаправлять на свой проксик?

>запросы на стандартные порты прокси серверов, перенаправлять на свой проксик?

В том-то и дело, что нету списка таких "стандартных" портов :))