The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Стабильный релиз новой ветки прокси-сервера Squid 3.2

29.08.2012 13:17

После двух лет разработки представлена новая стабильная ветка прокси-сервера Squid 3.2, которая по заявлению разработчиков достигла состояния готовности для промышленного использования. Прошлая стабильная ветка 3.1.x объявлена неподдерживаемой, кроме выпущенного 8 июня релиза 3.1.20 больше обновлений выпускаться не будет. В настоящий момент усилия разработчиков направлены на развитие ветки Squid 3.3, в ветке 3.2.x отныне будут производиться только исправления уязвимостей и проблем со стабильностью, также допускается внесение небольших оптимизаций. Одновременно объявлено и о прекращении поддержки ветки Squid 2.7.x, последней в серии 2.x. Всем пользователям Squid 2.7.x и 3.1.x рекомендуется спланировать переход на ветку 3.2.x.

Основные новшества Squid 3.2:

  • Поддержка одновременного запуска нескольких рабочих процессов Squid, что позволяет в полной мере задействовать ресурсы многоядерных систем. По умолчанию нагрузка при обработке запросов распределяется между всеми рабочими процессами, т.е. работа такой системы выглядит как единое целое, в том числе ведётся единый лог и используется общий кэш. Дополнительно предусмотрены средства для тонкой настройки поведения каждого процесса в отдельности. Управление производится через новую директиву "workers" в squid.conf;
  • Добавление средств для ограничения пропускной способности для трафика между прокси и клиентом. Ограничения могут задаваться для индивидуальных пользователей на основании IP-адресов и подсетей. Конфигурация пулов ограничений трафика на стороне клиентов выполняется по аналогиями с ранее доступными пулами на стороне сервера. Для настройки добавлены директивы client_delay_pools, client_delay_initial_bucket_level, client_delay_parameters и client_delay_access;
  • Новый хелпер Multiplexer, позволяющий мультиплексировать запросы к медленным хелперам. Multiplexer выступает в роли промежуточного звена между Squid и хелперами, и позволяет организовать обращение к хелперам в параллельном режиме, минимизировав таким образом задержки из-за ожидания своей очереди при последовательной отправке запросов к медленным хелперам;
  • Поддержка запуска хелперов по необходимости. Если ранее число запускаемых хелперов жёстко определялось в конфигурации, теперь возможен адаптивный запуск только нужного числа хелперов, в зависимости от нагрузки. В конфигурации теперь можно задать число изначально запускаемых хелперов, максимальное число хелперов и таймаут неактивности, после которого экземпляр хелпера будет завершён;
  • Произведено переименование большинства хелперов с целью унификации имён хелперов, более ясного определения выполняемых задач и явного различия поставляемых в составе Squid и внешних хелперов. Например, ncsa_auth переименован в basic_ncsa_auth, squid_radius_auth в basic_radius_auth, digest_pw_auth в digest_file_auth, squid_ldap_group в ext_ldap_group_acl, ntlm_auth в ntlm_smb_lm_auth и т.п.
  • Для Solaris 10 обеспечена поддержка и автоматическое определение многопоточной библиотеки pthreads. При использовании pthreads в Solaris 10 наблюдается заметное ускорение работы с кэшем AUFS;
  • Поддержка расширений протокола HTTP - Surrogate/1.0, позволяющих сайтам через установку HTTP-заголовков Surrogate-Capabilities, Security Considerations и Surrogate-Control явно управлять кэшированием страниц при использовании Squid в роли reverse-прокси;
  • Обновление инфраструктуры ведения логов, добавление возможности использования дополнительных модулей для хранения лога. Модули позволяют обеспечить хранение логов как в локальной ФС, так и на внешних лог-серверах. Кроме того, модули можно использовать для подключения своих обработчиков, разбирающих логи в режиме реального времени;
  • Улучшенная поддержка eCAP. В состав включена библиотека libecap 0.2.0 в которой расширены возможности по обработке тела ответа и ведения логов;
  • Расширение способов доступа к Squid Cache Manager. В дополнение к схеме cache_object:// запросы теперь можно отправлять из обычного браузера с использованием схем http:// и https:// в сочетании с заданием пути /squid-internal-mgr/, без необходимости использования промежуточного скрипта cachemgr.cgi;
  • Добавлена защита от атак по обходу ограничений same-origin, реализуемых при работе в режиме прозрачного прокси или NAT-перехвата (squid при запросе подменяет оригинальный IP, что может быть использовано для загрузки внешнего flash-кода или java-апплетов в контексте чужого домена). Для защиты реализованы дополнительные средства проверки параметров заголовка Host, активируемые через директиву host_verify_strict, которая включает режим строгой проверки соответствия имени хоста, указанного через Host, и доменного имени;
  • Устранены ограничения на длину пароля в реализации алгоритма хэширования DES (ранее учитывались только первые 8 символов), используемого в NCSA-хелпере аутентификации.


  1. Главная ссылка к новости (http://www.squid-cache.org/mai...)
  2. OpenNews: Первый стабильный релиз новой ветки прокси-сервера Squid 3.1
  3. OpenNews: Ветка Squid 3.0 объявлена стабильной
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/34686-squid
Ключевые слова: squid, proxy
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (106) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.4, Crazy Alex (ok), 14:27, 29/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Интересно, много народу этим ещё пользуется? Кругом же динамика... Разве что исключительно как фильтр
     
     
  • 2.5, Moomintroll (ok), 14:30, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Кругом же динамика...

    Довольно относительно. Т.к. динамически сформированные страницы включают вполне статические картинки, стили и скрипты.

     
  • 2.6, Аноним (-), 14:35, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Динамика не отменяет необходимости фильтрации контента и разграничения доступа в соответствии с корпоративными требованиями. И вообще это о другом.
     
  • 2.7, Аноним (-), 14:43, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Пальцем в небо. Эра динамики была в 2000 -ые когда царствовал PHP со товарищи. тогда да весь хтмл, а иногда и css и javascript генерировался на сервере и кешировать его было бесполезно. Сейчас в моде AJAX который с точки зрения прокси, представляет собой постоянный набор полностью статических страниц скриптов и стилей. Которые кешируются на ура. Не кешируются только данные, но они обычно в json, который намного худее чем полная страница собранная PHP.
    Проблема кеширующих прокси в том, что современные браузеры сами по себе высокоинтелектуальные кеширующие прокси.
     
     
  • 3.12, Аноним (-), 15:18, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • –10 +/
    пффф 8230 попой в лужу, блин orly правильно настроеной проксе глубоко наплев... большой текст свёрнут, показать
     
     
  • 4.18, Аноним (-), 15:46, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Да не волнуйтесь вы так.

     
  • 4.54, Аноним (-), 17:22, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > AJAX — это метод отправки асинхронных запросов из JS

    Хотя бы википедию почитай чтоли.

     
  • 4.86, rshadow (ok), 22:30, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Скужу проще вы не правы. И пора бы подтянутся по матчасти.

    Сам очень не люблю мегабайты js кода и стараюсь делать проще. Но современные реалии таковы, что сервера раздают статику и данные в "чистом" виде (напимир json). А страница собирается на стороне клиента. Во всяком случае те 5% сайтов инета которыми реально пользуются так и делают :-)

     
  • 4.109, XoRe (ok), 23:52, 31/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    out-of-box squid настроен так, что не кеширует урлы, если в них есть И это ... большой текст свёрнут, показать
     
  • 3.29, Crazy Alex (ok), 16:22, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я рассуждаю примерно так. Современный сайт - это либо хрень на десяток страничек, которую кэшировать профита нет из-за малого размера (как большиснтво копоративных) либо монстр - статика с нормально отданными заголовками (то есть оно будет кэшироваться браузером до упора) + персонализированный контент, летающий как раз в том самом JSON - там кэшировать нечего. Ровно по этой причине и няшных котиков кэшировать не выйдет - разным пользователям летят разные котики. Видео - флеш в большинстве, там оно потоком летит и вряд ли кэшируется...
     
     
  • 4.32, Аноним (-), 16:26, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Писк современной моды - собрать всю статику, включая картинки в один файл html минимизатором, все остальное в json. По вкусу добавить offline manifest.
    Мне нравится.

     
     
  • 5.36, Crazy Alex (ok), 16:45, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да. Но по сравнению с  динамикой (теми же котиками) - это ж слёзы и кешируется браузером на месяцы
     
     
  • 6.42, Аноним (-), 16:52, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Как бы страницы с картинками в data: урлах уже не слезы.

     
     
  • 7.45, Crazy Alex (ok), 16:54, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Да любая статика - слёзы по сравнению с какой-нибудь лентой вконтакта просматриваемой за 10 минут. Потому что там десятки если не сотни мегабайт.
     
  • 2.8, Аноним (-), 14:56, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >Разве что исключительно как фильтр

    Как фильтр он как бе не очень.
    Кто считает по другому - простейшая задача:
       заблокировать с помощью squid сайт вконтакте.

     
     
  • 3.11, arrrr (?), 15:16, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    а что сложного?
     
     
  • 4.15, Аноним (-), 15:39, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    http://obhodilka.ru/
    и еще приблизительно 10 000 веб проксей.
     
     
  • 5.20, HUB (??), 15:55, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > http://obhodilka.ru/
    > и еще приблизительно 10 000 веб проксей.

    http://dansguardian.org/ Ну и ещё 10к вариантов фильтрации по контенту(!) а не по url.

     
     
  • 6.23, Аноним (-), 16:08, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Медленный, нет хороших правил по русским сайтам, много ложных срабатываний.
    то есть написание и отладка правил целиком ложится на администратора.


    Тогда уж лучше использовать opendnns/skydns, но там свои проблемы.

     
     
  • 7.87, rshadow (ok), 22:38, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Эх. что поделать, нужно сообщество.

    Можно вот еще правила с privoxy дернуть, либо его дочерним прокси поставить. но уж больно он тормознут.

     
  • 5.56, arrrr (?), 17:36, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    ах это, у меня с этим проще.
    эти сайты (вконтакте и прочие) закрываются в целях повышения дисциплины, а это уже не мой огород, я со своей стороны сделал достаточные ограничения, чтобы пользователь по случайности не нарушил запрет и проинформировал пользователей.
    время от времени по запросу начальников берутся логи определённых пользователей и просматриваются, если замечаю "риминал" заношу в блэклист и ставлю начальство в известность о факте нарушения правил трудового распорядка, а у начальников есть более действенные способы отвадить сотрудника от посещения вконтактов на работе, например увольнение сотрудника.
     
     
  • 6.61, СреднийПосетительОпеннета (?), 18:00, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Это больше похоже на имитацию работы.
    Работать не на результат, а так что бы к тебе не могли придраться, в случае чего, мне лично - противно.

     
     
  • 7.81, Ytch (?), 21:38, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А вы считаете, что заботиться о соблюдении трудовой дисциплины, моральном облике... большой текст свёрнут, показать
     
  • 7.90, arrrr (?), 01:21, 30/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    и я ещё раз повторю, трудовая дисциплина это не моё дело, а ограничения на посещение вконтактов введены моим начальством для повышения трудовой дисциплины сотрудников.
    если бы эти ограничения вводились для обеспечения безопасности сети от всяческой вирусни или слива информации или для ограничения трафика, тогда другой разговор.
     
  • 5.110, XoRe (ok), 23:58, 31/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > http://obhodilka.ru/
    > и еще приблизительно 10 000 веб проксей.

    Фильтр по контенту: "ВКонтакте © 2006-2012".
    Вперед, подбирать прокси.

     
  • 3.13, Аноним (-), 15:21, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Заблокированы и вконтакте, и одноклассники, и многое другое.

    В организациях с жесткими требованиями к персоналу и способных обеспечить выполнение этим мер фильтация и вовсе идёт на основе белых списков, а не чёрных.

     
     
  • 4.16, Аноним (-), 15:41, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Заблокированы и вконтакте, и одноклассники, и многое другое.

    Это вы так думаете. Спорю на пиво что это не так?
    > В организациях с жесткими требованиями к персоналу и способных обеспечить выполнение этим
    > мер фильтация и вовсе идёт на основе белых списков, а не
    > чёрных.

    Если у вас в списках есть google(.*),microsoft.com или почти любой сайт на основе wordpress считайте что у вас открыт доступ ко всему интернету.


     
     
  • 5.19, Аноним (-), 15:53, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    ...а еще у нас есть админ, ежедневно мониторящий трафик, и выписывающий живительных всем, кто считает себя умнее руководства.
     
     
  • 6.21, Аноним (-), 16:04, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Админ ежедневно мониторящий трафик - просто вершина автоматизации.
    Спасибо, я обошелся самодельным расширением для chrome, и доменными политиками для него же.
    Кстати, у него(chrome) есть политика и для линукса ... в некотором смысле.
    Просто я к тому что надеятся только на squid в плане контроля доступа - бессмысленно.
     
     
  • 7.34, filosofem (ok), 16:41, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Спасибо, я обошелся самодельным расширением для chrome, и доменными политиками для него же.

    Вот как раз это наивно.

     
     
  • 8.39, Аноним (-), 16:46, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Работает Судя по звериным рожам агентов и менеджеров - хорошо работает ... текст свёрнут, показать
     
     
  • 9.75, Аноним (-), 19:51, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Я им открою FireFox Pоrtable - его даже устанавливать не надо После этого будут... текст свёрнут, показать
     
     
  • 10.79, ВКПб (?), 20:15, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Запуск сторонних бинарников в линуксе и офтопике блокируется ... текст свёрнут, показать
     
     
  • 11.82, al_88 (ok), 21:38, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А как насчёт ssh тунелю по 443 порту ... текст свёрнут, показать
     
  • 7.49, Аноним (-), 17:01, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Админ ежедневно мониторящий трафик - просто вершина автоматизации.

    А без человека так или иначе не обходится, уж извините. Можно, конечно, до известной степени его заменить, нарисовав некую экспретную систему, которая возьмет на себя часть работы, но эту систему еще нужно будет обучить, а это уже работа за отдельную зарплату. Так что лучше потратить час в день на изучение отчётов, чем заниматься автоматизацией исключительно ради автоматизации.

     
  • 6.40, Аноним (-), 16:50, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > ...а еще у нас есть админ, ежедневно мониторящий трафик, и выписывающий живительных
    > всем, кто считает себя умнее руководства.

    толку если есть прокси с урлами тапа fastbuh.ru ?
    А есть и https прокси - что вы там увидите в логах?

     
     
  • 7.46, Аноним (-), 16:55, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> ...а еще у нас есть админ, ежедневно мониторящий трафик, и выписывающий живительных
    >> всем, кто считает себя умнее руководства.
    > толку если есть прокси с урлами тапа fastbuh.ru ?
    > А есть и https прокси - что вы там увидите в логах?

    А эти прокси религия не позволяет забанить?

     
     
  • 8.48, Аноним (-), 17:01, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Все Включаю ту сотню которая появится завтра Предсказывать будущее не умею ... текст свёрнут, показать
     
     
  • 9.50, Аноним (-), 17:03, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Мониторить трафик, видимо, тоже Тем более, что хомячкам очень быстро надоедает ... текст свёрнут, показать
     
     
  • 10.62, СреднийПосетительОпеннета (?), 18:02, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    толку если есть прокси с урлами тапа fastbuh ru А есть и https прокси - что в... текст свёрнут, показать
     
     
  • 11.67, Аноним (-), 18:18, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Увижу в логах адрес прокси, и забаню его без разговоров Ибо такова политика ком... текст свёрнут, показать
     
  • 6.83, Ytch (?), 21:52, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ...а еще у нас есть админ, ежедневно мониторящий трафик, и выписывающий живительных
    > всем, кто считает себя умнее руководства.

    У вас админом генеральный подрабатывает? Каким образом админ (админ! не руководство!) может кому-то чего-то "выписать"? У нас, например, максимум что может сделать админ в такой ситуации - предупредить, что нехорошо и он будет вынужден доложить руководству, ну или просто доложить без предупреждения. При попытке что-либо "выписать" самостоятельно будет просто послан (мягко или грубо, в зависимости от того кому и как именно будет пытаться), а при попытке "мелко пакостить" (например, включать дополнительные фильтры, вводить/уменьшать квоты втихаря и т. п.) еще и "по шее" получит от того же руководства за самоуправство.

     
     
  • 7.98, SHRDLU (ok), 08:22, 30/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > У вас админом генеральный подрабатывает? Каким образом админ (админ! не руководство!) может

    Не во всякой конторе админ == говно...

    > и т. п.) еще и "по шее" получит от того же
    > руководства за самоуправство.

    А вы точно уверены, что действия админа являются "самоуправством", а не подкреплены соответствующими инструкциями и распоряжениями за подпиьсю лиц соответствующего ранга?


     
  • 3.14, как бы так (?), 15:23, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    squd.conf -> acl denyURLs url_regex "........./blocksites"
    http_access allow название_группы !denyURLs

    echo "vk.com/*" > путь_до_/blocksites

     
     
  • 4.17, Аноним (-), 15:43, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Наивный.
    google админ закрыл доступ вконтакт что делать - 100500 способой обхода, включая доставку internet через email.

     
     
  • 5.44, Аноним (-), 16:54, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ... и все эти 100500 способов обхода так или иначе попадают в банлисты.
    Помнится, прошелся по первым десяти страницам результатов поиска яндекса и гугла с запросам "анонимайзер вконтакте", и все найденные анонимайзеры добавли в банлист. Полдня тогда посидел, теперь сижу, курю... изредка особо упоротый новичок находит какой-нибудь новый обходной путь, и остаётся без премии, а у меня пополняется черный список.
     
  • 3.24, troll (??), 16:13, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    легко: Access control
    и еще с десяток сайтов как по доменному имени, так и по адресу
     
     
  • 4.28, Аноним (-), 16:19, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А у сайта десяток другой адресов, пяток зеркал и доменов, включая мобильные,плюс сотни онлайн переводчиков,которые можно использовать как анонимайзеры, и веб проксей сотни тысяч. Все будешь добавлять?


     
     
  • 5.31, tuxgood (ok), 16:26, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/

    >> А у сайта десяток другой адресов, пяток зеркал и доменов, включая мобильные,плюс сотни >онлайн переводчиков,которые можно использовать как анонимайзеры, и веб проксей сотни >тысяч. Все будешь добавлять?

    Вы плохо изучили фильтрацию SQUID можно банить сайты по контенту, так же легко закрываеться по встречающемся символам в URL

     
     
  • 6.33, Аноним (-), 16:33, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вы плохо изучили фильтрацию SQUID можно банить сайты по контенту, так же
    > легко закрываеться по встречающемся символам в URL
    >SQUID можно банить сайты по контенту

    Ну ну. Забаньте мне все сайты которые создают глобальную переменную window.vklogin
    Не те текст которых содержит строку "vklogin" - слишком много ложных срабатываний, а те которые эту переменную создают любым способом.
    >легко закрываеться по встречающемся символам в URL

    Ага, забань комбинацию ^.*vk.com.*$ и лишись работы.

     
     
  • 7.52, Аноним (-), 17:13, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага, забань комбинацию ^.*vk.com.*$ и лишись работы.

    А про то, что можно создать "белый" список и добавить туда то, что нужно, вы, видимо, тоже не в курсе?

     
     
  • 8.76, Аноним (-), 19:56, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Да мы уже давно поняли что у тебя все сайты интернета рассортированы в белый и ч... текст свёрнут, показать
     
     
  • 9.78, Аноним (-), 20:15, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    То-то же Вольно, товарищи Можете кушать ... текст свёрнут, показать
     
  • 8.85, Ytch (?), 22:12, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А что, в общем случае, возможно заранее определить всё что может потребоваться в... текст свёрнут, показать
     
     
  • 9.97, SHRDLU (??), 08:17, 30/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А что, в общем случае нельзя регламентировать порядок действий на такие случаи ... текст свёрнут, показать
     
  • 5.51, Аноним (-), 17:06, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А у сайта десяток другой адресов, пяток зеркал и доменов, включая мобильные,плюс
    > сотни онлайн переводчиков,которые можно использовать как анонимайзеры, и веб проксей сотни
    > тысяч. Все будешь добавлять?

    Можно ныть, что "все не забанишь", а можно банить, и добиваться нужных результатов. Все зависит от корпоративной политики. Ваша политика, видимо, сводится к пофигизму по отношению к работе, но меня это не касается.

     
     
  • 6.57, СреднийПосетительОпеннета (?), 17:40, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Не волнуйтесь. Все хорошо.
    Подобную проблему я уже решил, правда без помощи squid.
    Я все это к тому, что можно  "банить банить и банить", можно вручную просматривать трафик часами в поисках крамолы, а можно пять минут подумать и добиться результатов не хуже, главное использовать нужный инструмент.
    А не как обычно - я умею копать, имею сертификат профессионального землекопа, поэтому забор я буду красить ЛОПАТОЙ.
    Надо уже побороть устойчивый стереотип: "Сис. Админ это водопроводчик от IT"
    Удачи.
     
  • 3.27, Crazy Alex (ok), 16:17, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    ну, из моего опыта - если дело доходит до фильтров - что-то сильно не так в управлении персоналом - либо людей пытаются заставить пахать 8 часов в день (что нереально), либо платят мало и работает народ соответственно, либо зарплата и резальтаты работы никак не связаны... И там такие чудеса изобретательности проявляются, что помогает только видеонаблюдение + злобные штрафы. Только смысла в этом никакого.
     
     
  • 4.30, Аноним (-), 16:23, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы это понимаете и я это понимаю. Но директора, у которых работники целыми днями таскают морковь с фермы этого не понимают. И они тоже правы.
     
     
  • 5.38, Crazy Alex (ok), 16:46, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это да, кто платит - тот заказывает музыку. Вот в том числе поэтому я из админов и ушел.
     
     
  • 6.77, Аноним (-), 20:00, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Это да, кто платит - тот заказывает музыку. Вот в том числе поэтому я из админов и ушел.

    Ух ты! Так ты теперь бизнесвумен? Ну и как дошло уже что и у них - та же фигня?

     
     
  • 7.84, Crazy Alex (ok), 22:05, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем? Программизм оказался много веселее, чем дела админские. А бизнесмен из меня никудышный, увы..
     

  • 1.10, Аноним (-), 15:13, 29/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А оно подерживает squid.conf от предыдущих версий?
     
     
  • 2.68, Аноним (-), 18:23, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    В лучшем случае частично. Как минимум, хелперы переименовали.
     
  • 2.94, progserega (ok), 07:03, 30/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    на доступ к manager ругается и ещё на пару опция. А так, вроде нормально. Поправили баг с паралельными запросами авторизации в Active Directory.
     

  • 1.22, Тузя (ok), 16:05, 29/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Добавление средств для ограничения пропускной способности для трафика между проки и клиентом.

    Я, наверное, многого не понимаю, но зачем это делать прокси-серверу? Разве нет какого-нибудь более традиционного способа это сделать? Первым на ум приходит RADIUS почему-то...

     
     
  • 2.25, Аноним (-), 16:14, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Потому как клиентом сквида не обязательно является менеджер Василий Пупкин. Клиентом может быть:
    - другой сквид
    - веб сервер
    - сервер приложений
    - много всякого интересного...

     
  • 2.26, troll (??), 16:15, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>Добавление средств для ограничения пропускной способности для трафика между проки и клиентом.
    > Я, наверное, многого не понимаю, но зачем это делать прокси-серверу? Разве нет
    > какого-нибудь более традиционного способа это сделать? Первым на ум приходит RADIUS
    > почему-то...

    а зачем огород городить если можно легко и не принужденно это сделать в SQUIDe

     

  • 1.35, ALex_hha (ok), 16:41, 29/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А в чем проблема заблокировать vk?
     
     
  • 2.37, Аноним (-), 16:45, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    http://raders.ru/2
    http://knigolab.ru/2
    http://arendadorogo.ru/2
    http://zerfod.ru/2
    http://dorss.ru/3
    http://samnesmogu.ru/2
    http://fastbuh.ru/2
    http://ideanarium.ru/2
    ...

     
     
  • 3.59, СреднийПосетительОпеннета (?), 17:52, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ой, спасибо. Работает )))
     
  • 3.64, Den (??), 18:10, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > http://raders.ru/2
    > http://knigolab.ru/2
    > http://arendadorogo.ru/2
    > http://zerfod.ru/2
    > http://dorss.ru/3
    > http://samnesmogu.ru/2
    > http://fastbuh.ru/2
    > http://ideanarium.ru/2
    > ...

    Как 2 пальца об асвальт! Покупайте SWG коммерческий, кстате в основном внутри будет тот же squid стоять + сервис от вендора с обновляемыми блек-листами. Кстате найти в инете блек-листы нормальные открытые и прикрутить к squid с автоматизированным обновлением - проще простого. И тогда ни vk.com ни его клоны, ни открытые прокси не будут доступны из вашей сети.

     
  • 2.41, Crazy Alex (ok), 16:51, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    В том что если людям чего-то (особенно развлечений) очень хочется - они пути найдут. И резко учатся и прокси применять, и левый софт запускать, и устройства свои тыкать в в обход всех мыслимых ограничений, и свои 3G-модемы с точками доступа или телефоны совать... В общем, нет предела извращениям. Причём всё это давно и хорошо описано в сети и тривиально находится гуглом. Лечится это исключительно видеонаблюдением и совершенно механической системой штрафов. По принципу "попался - галку в софтине поставили со скриншотом - 5 % зарплаты забрали".
     
     
  • 3.47, Аноним (-), 16:58, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    То что, теоретически, можно ограбить любой банк - еще не повод не ставить решетки на окна и стальную дверь.
    Чем больше преград будет на пути тем меньше дойдут до финиша. А уж тех кто дошел, тех уже можно и "наградить" за старания.
     

  • 1.43, ALex_hha (ok), 16:53, 29/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Именно так и надо делать, squid тут только для отсекания блондинок :)
     
  • 1.55, alecx (ok), 17:23, 29/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А еще полная поддержка HTTP/1.1
     
  • 1.58, ILYA INDIGO (ok), 17:41, 29/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я использую прокси-сервер 3proxy 0.6.1 http://3proxy.ru
    Мне в нём нравиться 2 вещи
    1 Мгновенная (макс 3 сек) реакция на изменения конфига БЕЗ перезагрузки демона.
    2 Возможность править конфиг через встроенный вэб-интерфейс с пунктом 1.
    Ну и так же довольно лёгкие и удобные правила и возможности конфига.

    Кто нибудь сталкивался с обоими прокси-серверами и может сказать что нибудь о них и сравнить?

     
     
  • 2.60, СреднийПосетительОпеннета (?), 17:55, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Под линуксом - не идет ни в какое сравнение, кривой, глючный, теряет соединения, течет память.
    Под виндоусом - нормальный прокси, в отсутствие лучших бесплатных альтернатив.


     
     
  • 3.103, UkrZilla (?), 12:34, 30/08/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ой, а автор то не знает бедный и пишет и пишет
    В общем бездоказательный бред. Также использую только 3proxy.
     
  • 2.65, оО (?), 18:15, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    squid -k reconfigure
    как бы тоже без перезагрузки )))
     
     
  • 3.73, ILYA INDIGO (ok), 19:03, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > squid -k reconfigure
    > как бы тоже без перезагрузки )))

    Буду иметь в виду :)

     
  • 3.88, Andrey Mitrofanov (?), 22:39, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > squid -k reconfigure

    И Ваши delay pool-ы певращаются, певращаются delay pool-ы...

    > как бы тоже без перезагрузки )))

    Как бы в шорты.

     

  • 1.63, Keha (?), 18:05, 29/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    по сути сквид (как решение, он может и не знать что именно им это сделано) сейчас нужен только безумцам грезящим о китайском фаерволле, а админам это только бездарно потраченные человеко-часы.
    Простые аргументы:
    -браузеры и так кешируют;
    -роутеры сами могут рулить скоростью;
    -интернет безлимитный и высокоскоростной;
    -соцсети сами собой снизили нагрузку на интернет - теперь все сидят на одном и том же сайте;
    -есть куча протоколов обменов данных, которые через жопу работают с проксей;
    -нет необходимости иметь сервер в организации (часть задач решают роутеры, часть на внешке - к примеру pdd.yandex.ru)
    И все это экономит приличные денежки :)
     
     
  • 2.66, Den (??), 18:17, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно, как ваши роутеры справятся с входящим инфецированным трафиком? Или например предотвратят утечку информации?
     
     
  • 3.69, Keha (?), 18:29, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    За полгода, как построена сеть - ни одной инфекции и ни одной утечки. Я что-то делаю не так?
     
     
  • 4.74, исчо_адын_аноним (?), 19:23, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > За полгода, как построена сеть - ни одной инфекции и ни одной
    > утечки. Я что-то делаю не так?

    Да, работаешь всего пол-года

     
     
  • 5.92, keha (ok), 05:13, 30/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Я видел ползающего кролика. Все кролики ползают! Такая вот женская логика у тебя мил человек.
     
  • 3.70, Pussy Riot (?), 18:45, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    я например вообще никогда не использую антивирус и все ОК. вирусы в основном на зарубежных варезниках и порнушках. я когда хочу порнушку поглядеть простов браузере ява скрипты отключаю. раньше я еще вирусы подхватывал через флэшку, но я уже давно использую флэшки с loock
     
     
  • 4.72, ILYA INDIGO (ok), 19:02, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > я например вообще никогда не использую антивирус и все ОК. вирусы в
    > основном на зарубежных варезниках и порнушках. я когда хочу порнушку поглядеть
    > простов браузере ява скрипты отключаю. раньше я еще вирусы подхватывал через
    > флэшку, но я уже давно использую флэшки с loock

    А я, как и большинство читателей opennet-а, используем просто нормальную ось.
    И при условии корректного распределения прав, как бы никаких вирусов нет и в помине, особенно через браузер.

     
  • 3.71, Клыкастый2 (?), 18:49, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    утечку информации можно предотвратить? серьёзно? можно пример?

    вот есть Вася. Вася знает (имеет доступ) к неким данным (НД). Есть Петя, Вася хочет передать Пете НД. Чо будете делать проксёй?

     
  • 2.80, Аноним (-), 20:24, 29/08/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну-ну И дай бог им здоровья И фильтровать контент тоже, если вдруг вы не в к... большой текст свёрнут, показать
     
     
  • 3.93, keha (ok), 05:23, 30/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> И фильтровать контент тоже, если вдруг вы не в курсе. Вопрос в

    гибкости и управляемости.
    в курсе, в курсе - перечислять, что умеют современные роутеры - сайт треснет

    >> Вот прям везде и для всех? Юрлицам обычно предлагают значительно более медленные

    каналы за значительно бОльшие деньги.
    в Красноярске везде и для всех - мне этого достаточно

    >> ... вместо того чтобы работать?

    вообще-то в некоторых конторах уже обязуют работников создавать активность в соцсетях - поддерживать имидж конторы. Соцсети - это часть бизнеса.

    >> Squid заявлен как HTTP прокси. При чем тут куча протоколов?

    при том, что если их пускать мимо сквида, то о каком разграничении прав можно вести речь?

    >> Вы хотя бы на минуту представьте, что управляете сетью, число машин в которой на два порядка превышает 20-30...

    Вообще-то управляю. Описанный мной случай и правда на 60 машин, но есть у меня сеть и на 200 машин (но там сквид был запущен, когда интернет был помегабайтный)

     
     
  • 4.96, SHRDLU (??), 08:13, 30/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>> И фильтровать контент тоже, если вдруг вы не в курсе. Вопрос в
    >>> гибкости и управляемости.
    > в курсе, в курсе - перечислять, что умеют современные роутеры - сайт
    > треснет

    Судя по вашей сетки из 200 машин, раньше треснет ваш d-link или что-то того же класса...

    > в Красноярске везде и для всех - мне этого достаточно

    Угу, понятно, дальше своего носа не видим.

    > вообще-то в некоторых конторах уже обязуют работников создавать активность в соцсетях -
    > поддерживать имидж конторы. Соцсети - это часть бизнеса.

    Не смешите мои тапочки.

    >>> Squid заявлен как HTTP прокси. При чем тут куча протоколов?
    > при том, что если их пускать мимо сквида, то о каком разграничении
    > прав можно вести речь?

    Можно, можно. man ipfw, man pf, man...

    >>> Вы хотя бы на минуту представьте, что управляете сетью, число машин в которой на два порядка превышает 20-30...
    > Вообще-то управляю. Описанный мной случай и правда на 60 машин, но есть
    > у меня сеть и на 200 машин (но там сквид был

    Ну а у нас сеть на 2500 машин (приблизительно)
    Дальше будем пиписьками меряться? :)

     
     
  • 5.99, keha (ok), 11:14, 30/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Судя по вашей сетки из 200 машин, раньше треснет ваш d-link или

    пальцем в небо определили железо? allied telesyn, или тоже не?
    >> Угу, понятно, дальше своего носа не видим.

    конечно, я должен был сразу предусмотреть безайпишные фаерволлы, систему резервного энергоснабжения на суток трое и послать в космос радиосигнал...
    >> Не смешите мои тапочки.

    аргументы кончились?

    >> Можно, можно. man ipfw, man pf, man...

    ага, сквидо-леса нам мало, продолжаем городить

    >> Ну а у нас сеть на 2500 машин (приблизительно)Дальше будем пиписьками меряться? :)

    У нас? У нас тоже окола 2000 машин, но я лично отвечаю за 200. Умничай меньше, железа современного пробуй больше.

     
     
  • 6.100, SHRDLU (ok), 11:28, 30/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Аргументы, по ходу, кончились у вас:

    >> но есть у меня сеть и на 200 машин
    > У нас? У нас тоже окола 2000 машин,

    ...то 60 машин, то 200, то 200 превращаются в 2000...

    > но я лично отвечаю за 200.

    а если я скажу, что я лично отвечаю за 400, :) - как будете выкручиваться?

     
     
  • 7.101, keha (ok), 12:01, 30/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> ...то 60 машин, то 200, то 200 превращаются в 2000...

    Читать учитесь. 200 в одной конторе, 60 в другой. В конторе где 200, общий парк машин 2000.

    >> а если я скажу, что я лично отвечаю за 400, :) - как будете выкручиваться?

    если вы начали завираться, то мне что с этого? Или вы хотите знать все конторы, которые я обслуживаю, у которых тоже есть n-количество компов?

     
     
  • 8.102, SHRDLU (ok), 12:29, 30/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    О, теперь число обслуживаемых вами компов уже равняется N и продолжает расти ... текст свёрнут, показать
     
     
  • 9.104, keha (ok), 13:16, 30/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    И тут Остапа понесло ... текст свёрнут, показать
     

  • 1.89, Аноним (-), 23:46, 29/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А чё спорите-то? Все эти фконтактики с однотрахниками для "блондинок". Причём термин "блондинка" подразумевается более широко - человек с невысокми интеллектуальными способностями. Так вот "блондинки" и "обходить ограничения админов" понятия не совместимые. Так что запретив фкантакты даже самым примитивным способом, ограничиваем доступ с вероятностью 90%.
     
     
  • 2.91, arrrr (?), 01:39, 30/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А чё спорите-то? Все эти фконтактики с однотрахниками для "блондинок". Причём термин
    > "блондинка" подразумевается более широко - человек с невысокми интеллектуальными
    > способностями.
    > Так вот "блондинки" и "обходить ограничения админов" понятия не совместимые. Так
    > что запретив фкантакты даже самым примитивным способом, ограничиваем доступ с
    > вероятностью
    > 90%.

    мало того что ты мыслишь стереотипами, которые присуще людям с невысокими интеллектуальными способностями, приравнивая "пользователь вконтакте" = "блондинка" так ты ещё и не рассматриваешь банальных вариантов, когда условная "блондинка" для обхода ограничений обращается за помощью к специалистам и тогда мало того что твоё ограничение обойдут, так ты ещё и прослывёшь дилетантом и неучем, что может потом отразится и на твоей зп и в принципе на месте твоей работы

     

  • 1.95, Аноним (-), 07:06, 30/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Чтобы убежать от медведя, нужно бежать не быстрее медведя, а быстрее своего коллеги. Закрой первые топ 30 из заеркал вконтакта. А дальше - бог в помощь, ищите, бейтесь, профукивайте акки на поддельных зеркалах. Однако как траффик на определенный сайт будет выбиваться за среднюю температуру по больнице - он снова уйдет в блоклист. И так далее, ищите, теряйте...
     
  • 1.105, anodminus (?), 17:54, 30/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    однако блондинко нравятся одминкам. или я не прав?

    Как одминко понравится блондинко если одминко закрыл блондинко доступ на блондинкосайт?

    Или здесь большинство одминко евнухи и не увлекались служебными романами?

     
     
  • 2.106, Аноним (-), 22:33, 30/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Так некорорым же брюнетки нравяццо.
    И ваще, есть хорошая русская пословица: "Не е...сь где живёшь и не живи, где е...шся". Это к работе в первую очередь относиццо.
     

  • 1.107, robux (ok), 23:40, 30/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Искал в новости пункты:
    - добавлена возможность вводить квоты объема трафика на каждого пользователя: по дням, понедельно, помесячно, произвольный интервал
    - добавлен модуль сквид-апач для администрирования и просмотра статистики

    ...но не нашел.

     
  • 1.108, Аноним (-), 08:14, 31/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пользуемся. А что делать, если с интернетом более 50-ти человек, а канал в общей сложности 2.5 мбита, а в двух других конторах и того хуже? При этом невозможно блокировать социальные сети. Еле как добился разрешения блокировать музыку и видео, по этому без сквида никуда.
     
  • 1.111, ilinsky (?), 07:08, 02/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отличная штука. Спасибо авторам.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру