The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Стабильный релиз новой ветки прокси-сервера Squid 3.3

11.02.2013 22:01

Представлена новая стабильная ветка прокси-сервера Squid 3.3, которая по заявлению разработчиков достигла состояния готовности для промышленного использования.

После придания ветке 3.3.x статуса стабильной, в ней отныне будут производиться только исправления уязвимостей и проблем со стабильностью, также допускается внесение небольших оптимизаций. Поддержка прошлой стабильной ветки 3.2.x в ближайшее время будет прекращена, пользователям рекомендуется спланировать переход на ветку 3.3.x. В настоящий момент усилия разработчиков направлены на развитие экспериментальной ветки Squid 3.4, в которой планируется реализовать систему проверки SSL-сертификатов, добавить директиву note для создания аннотированных транзакций, обеспечить возможность работы ACL без разрешения имён в DNS.

Основные новшества Squid 3.3:

  • Новый хелпер log_db_daemon для организации хранения содержимого логов access.log в SQL БД. Для организации записи логов в БД подготовлен специальный фоновый процесс, написанный на языке Perl и поддерживающий любые СУБД для которых имеется DBD-драйвер;
  • Новый хелпер ext_time_quota_acl для ограничения сессий по времени работы. При помощи данного хелпера администратор может определить квоту на время, которое пользователь может провести в сети (например, разрешить работать не больше часа в день). Данную возможность можно использовать для лимитирования доступа детей, пользователей публичных Wifi-сетей или работников офиса. Для логического связывания серии запросов в непрерывную сессию в конфигурации задаётся порог, определяющий максимальный промежуток между двумя запросами, если время между запросами не превысило порог, то оно засчитывается как потраченное в рамках квоты;
  • Поддержка режима SSL-Bump Server для перехвата содержимого шифрованных HTTPS-сеансов. При поступлении первого перехватываемого HTTPS-запроса, Squid осуществляет SSL-соединение с сервером и получает его сертификат. После этого Squid использует имя хоста из реального полученного от сервера сертификата и создаёт фиктивный сертификат, при помощи которого имитирует запрошенный сервер при взаимодействии с клиентом, продолжая при этом использовать SSL-соединение, установленное с сервером. Кроме HTTPS-соединений, указанная схема может использоваться для перехвата большинства HTTP-запросов с методом CONNECT.

    Прошлая реализация SSL-Bump отличалась созданием на первом этапе SSL-соединения между клиентом и Squid и только затем созданием соединения с сервером, что не позволяло использовать в фиктивном сертификате детали реального сертификата, получаемого от сервера. Кроме того, новый метод позволяет работать в ситуациях, когда браузер не передаёт имя хоста при отправке запроса CONNECT;

  • Режим имитации SSL-сертификата сервера, при котором клиенту, при генерации фиктивного сертификата, транслируются все детали из реального сертификата сервера, что позволяет клиенту более осмысленно принять решение доверять данному сертификату или нет;
  • Возможность определения собственных дополнительных HTTP-заголовков, добавляемых при отправке запросов на сервер. Для добавления HTTP-заголовков в исходящие запросы следует использовать директиву request_header_add. Если в директиве задан уже установленный клиентом заголовок, то он будет заменён. В составе аргументов request_header_add может использоваться большинство макросов "%имя", поддерживаемых системой ведения логов (некоторые макросы на этапе отправки заголовка могут быть недоступны). Для принятия решения добавлять заголовок или нет могут быть задействованы ACL;
  • На этапе сборки отныне автоматически определяется и включается поддержка подсистемы kqueue, без необходимости ручного указания опции "--enable-kqueue".


  1. Главная ссылка к новости (http://www.squid-cache.org/Ver...)
  2. OpenNews: Стабильный релиз новой ветки прокси-сервера Squid 3.2
  3. OpenNews: Первый стабильный релиз новой ветки прокси-сервера Squid 3.1
  4. OpenNews: Ветка Squid 3.0 объявлена стабильной. Вышел Squid-3.0.STABLE1
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/36083-squid
Ключевые слова: squid, proxy, cache
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (13) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 00:28, 12/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Пипец, MIM в мейнстриме
     
     
  • 2.3, anonim (?), 01:38, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ХМММ.... Ну какбэ прокси сервера для того в общем-то и нужны(кэширование второстепенная функция).
     
     
  • 3.17, Аноним (-), 16:33, 13/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Не у всех подведена оптика толщиной в руку с анлимовым 32 Гбит каналом, торагой. Посейчас многие бизнесы не швыряют капусту на интернет-доступ. В моем офисе - ты не поверишь, 2 мбит на всех! И - ты не поверишь! - хватамбо благодаря грамотно отстроенному сквиду 2.7.
     
  • 2.7, Аноним (-), 02:47, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > создаёт фиктивный сертификат

    Угу, заманчиво. А подписывает оно его чем? У клиента должен быть установлен корневой сертификат, ключ от которого есть у админа прокси?

     
     
  • 3.9, AlexAT (ok), 07:18, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Именно.

    В корпоративной среде это звучит примерно так: не хочешь - не юзай.

     
     
  • 4.18, edo (ok), 18:59, 14/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    пусть мы доверяем нашему прокси-серверу, я вижу проблему в другом.

    как теперь клиенту понять - на web-сервере правильный сертификат или нет?

     
  • 2.12, Аноним (-), 08:37, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Пипец, MIM в мейнстриме

    Ага. Прокся плавно перекочевала в hacksoft :)

     

  • 1.4, anonimous (?), 01:59, 12/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    log_db_daemon доступен с незапамятных времёт. И mysql там был захардкожен.
    Не знаю как сейчас, но предположу что и о поддержке любых бд, автор соврал...


    >[оверквотинг удален]
    > использовать директиву request_header_add. Если в директиве задан уже установленный клиентом
    > заголовок, то он будет заменён. В составе аргументов request_header_add может использоваться
    > большинство макросов "%имя", поддерживаемых системой ведения логов (некоторые макросы
    > на этапе отправки заголовка могут быть недоступны). Для принятия решения добавлять
    > заголовок или нет могут быть задействованы ACL;
    > -  На этапе сборки отныне автоматически определяется и включается поддержка подсистемы
    > kqueue, без необходимости ручного указания опции
    > "--enable-kqueue".
    > URL: http://www.squid-cache.org/Versions/v3/3.3/
    > Новость: http://www.opennet.ru/opennews/art.shtml?num=36083

     
     
  • 2.5, anonimous (?), 02:00, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В общем уберите этот пункт из новости.


    >[оверквотинг удален]
    >> использовать директиву request_header_add. Если в директиве задан уже установленный клиентом
    >> заголовок, то он будет заменён. В составе аргументов request_header_add может использоваться
    >> большинство макросов "%имя", поддерживаемых системой ведения логов (некоторые макросы
    >> на этапе отправки заголовка могут быть недоступны). Для принятия решения добавлять
    >> заголовок или нет могут быть задействованы ACL;
    >> -  На этапе сборки отныне автоматически определяется и включается поддержка подсистемы
    >> kqueue, без необходимости ручного указания опции
    >> "--enable-kqueue".
    >> URL: http://www.squid-cache.org/Versions/v3/3.3/
    >> Новость: http://www.opennet.ru/opennews/art.shtml?num=36083

     
  • 2.15, ram_scan (?), 17:59, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Я это еще 10 годов тому как делал сконфижив сквида писать логи в пайп а с обратной стороны пайпа мелконаписаной аппликухой раскладывал моль по полкам в шкапу. К этой кухне был пристегнут попутно самописный редиректор который разложенную моль пересчитывал и показывал ежели что фиги юзерам. Но нативно конеш приятственнее.
     

  • 1.11, Аноним (-), 08:35, 12/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > более осмысленно принять решение доверять данному сертификату или нет;

    Что позволяет более осмысленно втереть клиенту очки :)

     
  • 1.14, Moomintroll (ok), 09:25, 12/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Минорненько....

    Почему 3.3? Что-то внутри изменили?

     
     
  • 2.16, Аноним (-), 09:57, 13/02/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Минорненько....
    > Почему 3.3? Что-то внутри изменили?

    Они его уже года три с ленцой попиливают. Как не работал транспарент - так и не работает. Как не собирался на многих платформах без танцев с бубном - так и не собирается. До состояния 2.6 ему еще тащиться и тащиться.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру