При пробрасывании http-туннеля через http-прокси, http-заголовок пакета имеет аномально маленький размер, порядка 80-90 байт, так как передается лишь минимальный набор данных. Заголовок передаваемых браузером запросов обычно не бывает меньше 350 байт. Основываясь на данной особенности можно отфильтровать проброшенных поверх http-прокси туннели.

   # политика по умолчанию
   iptables -P INPUT DROP
   iptables -P OUTPUT DROP
   iptables -P FORWARD DROP

   # создаём новую цепочку LENGTH
   iptables -N LENGTH

   # проверяем длину пакета, если меньше 350 байт то блокируем
   iptables -A LENGTH -p tcp --dport 3128 -m length --length :350 -j DROP

   # если пакет больше 350 байт то пропускаем
   iptables -A LENGTH -p tcp --dport 3128 -j ACCEPT

   # разрешаем подключение на порт 3128
   iptables -A INPUT -p tcp --syn --dport 3128 -j ACCEPT

   # в установленом соединении проверяем пакеты на запрос GET --hex- string "|47 45 54 20|"
   # если есть такой пакет то направляем его в цепочку LENGTH для проверки длины пакета
   iptables -A INPUT -p tcp --dport 3128 -m state --state ESTABLISHED -m string --algo kmp \
      --hex-string "|47 45 54 20|" --from 52 --to 56 -j LENGTH

   iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
   iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Представленный пример опробован  на httptunnel

URL: http://linux-online-ru.blogspot.com/2010/02/http-proxy-http-...
Обсуждается: http://www.opennet.me/tips/info/2290.shtml

• Защищаем http-proxy от пробрасывания http-туннеля средствами iptables,User294, 22:04 , 09-Фев-10
• Защищаем http-proxy от пробрасывания http-туннеля средствами iptables,Аноним, 23:12 , 09-Фев-10
• Защищаем http-proxy от пробрасывания http-туннеля средствами iptables,mike_t, 08:22 , 10-Фев-10
• Защищаем http-proxy от пробрасывания http-туннеля средствами iptables,Вопросец, 14:54 , 10-Фев-10
  • Защищаем http-proxy от пробрасывания http-туннеля средствами...,mr_gfd, 19:36 , 10-Фев-10
    • Защищаем http-proxy от пробрасывания http-туннеля средствами...,mr_gfd, 19:36 , 10-Фев-10
  • Защищаем http-proxy от пробрасывания http-туннеля средствами...,azure, 23:02 , 13-Фев-10
• Защищаем http-proxy от пробрасывания http-туннеля средствами iptables,GlooM, 02:17 , 20-Фев-10

> http-заголовок пакета имеет аномально маленький
> размер, порядка 80-90 байт

Спасибо, Кэп. Мы учтем что вы и некоторые иные админы любите лишний бесполезный траффик и так и быть доработаем напильником свои тулзы на случай встреч с вами и вашими тулсами. Впрочем в заголовки тоже в принципе можно трафф запихнуть если захотеть :-). Интересное наблюдение по части аномалий, жаль что применение как всегда, ограничительное.

http-proxy можно использовать честно - браузером.
При этом постить и скачивать гигабайты.
Правда, нужен союзник с другой стороны, но он так и так нужен.

а не проще тогда на проксе зарезать?

А подскажите, есть ли возможность фаерволом или в самой прокси подрезать возможность коннекта к удалённому openvpn серверу? И можно ли это подмутить при помощи ipfw?

>А подскажите, есть ли возможность фаерволом или в самой прокси подрезать возможность
>коннекта к удалённому openvpn серверу? И можно ли это подмутить при
>помощи ipfw?

man mg_tag

>>А подскажите, есть ли возможность фаерволом или в самой прокси подрезать возможность
>>коннекта к удалённому openvpn серверу? И можно ли это подмутить при
>>помощи ipfw?
>
>man mg_tag

ng_tag //fixed

не режьте таким как я единственную возможность достукиваться до домашней машины и рабочих серверов!

А если HTTP METHOD CONNECT забанить для 80-го порта разве соединение с прокси и туннелями установится? По идее, если заблочен метод-коннект, то должны работать только анонимайзеры, поскольку это обычные веб-страницы. А вот их уже одолеть можно только банлистом по названиям...