После трёх лет разработки представлен (https://www.mail-archive.com/squid-announce@lists.squid...) стабильный релиз прокси-сервера Squid 4.1 (https://wiki.squid-cache.org/Squid-4), готовый для промышленного использования (выпуски 4.0.x имели статус бета-версий). После придания ветке 4.x статуса стабильной, в ней отныне будут производиться только исправления уязвимостей и проблем со стабильностью, также допускается внесение небольших оптимизаций. Разработка новых возможностей будет производиться (http://wiki.squid-cache.org/RoadMap) в новой экспериментальной ветке 5.0. Пользователям прошлой стабильной ветки 3.5 рекомендуется спланировать переход на ветку 4.1.
Основные новшества (http://www.squid-cache.org/Versions/v4/squid-4.1-RELEASENOTE...) Squid 4:- Прекращено использование устаревшей версии протокола SSLv2 при согласовании защищённых соединений, в соответствии с требованиями RFC 6176 (https://tools.ietf.org/html/rfc6176). Поддержка SSLv3 пока сохранена, но объявлена устаревшей и рекомендована для отключения (tls-options=NO_SSLv3);
- Возможность установки безопасных соединений с сервисами, используя протокол ICAP поверх TLS. Шифрованный вариант ICAP доступен через URL icaps:// и сетевой порт 11344;
- Новая директива url_lfs_rewrite для перенаправления всех запросов к файлам, которые присутствуют в заданном каталоге, через локальный HTTP-сервер;
- Новая директива on_unsupported_protocol (http://www.squid-cache.org/Doc/config/on_unsupported_protocol) при помощи котороой можно организовать проброс через прокси трафика, отличного от HTTP;
- Реализована опция "queue-size=N" для настройки размера очереди для обработчиков (helper);
- В директиве external_acl_type (http://www.squid-cache.org/Doc/config/external_acl_type) добавлена возможность использования кодов форматирования вывода для лога (logformat);
- Добавлена экспериментальная поддержка сборки с библиотекой GnuTLS вместо OpenSSL (при сборке с GnuTLS пока не поддерживаются режим SSL-Bump и генерация сертификатов);
- Переименованы обработчики, связанные с TLS/SSL;
- На смену аутентификатору basic_msnt_multi_domain_auth, зависящему от Samba, пришёл basic_smb_lm_auth;
- Добавлена директива url_rewrite_timeout (http://www.squid-cache.org/Doc/config/url_rewrite_timeout);
- Транзакций в логе теперь отражаются с точностью до долей миллисекунд;- Добавлена опция "ext_kerberos_ldap_group_acl -n" для отключения автоматического применения SASL/GSSAPI;
- В обработчике security_file_certgen появился режим хранения сертификата только в оперативной памяти;
- Добавлена поддержка HTTP-заголовка "Expect: 100-continue";
- Изменён механизм параллельного запуска обработчиков. Из-за возможности организации DoS-атак вместо применения массивов для инициирования запуска параллельных каналов теперь следует использовать очереди запросов со специальным 64-разрядным идентификатором;
- Значение по умолчанию в ACL localnet приведено в соответствие с RFC 6890 (https://tools.ietf.org/html/rfc6890) (локальные блоки IP-адресов);
- Добавлены настройки request_start_timeout (http://www.squid-cache.org/Doc/config/request_start_timeout) и pconn_lifetime (http://www.squid-cache.org/Doc/config/pconn_lifetime) для задания таймаутов для постоянно поддерживаемых соединений;
- В web-интерфейс cachemgr добавлен блок статистики для срабатываний шаблонов refresh_pattern в контексте отдельных правил;- Кодовая база переведена на использование стандарта C++11;
- Переработан код HTTP-парсера;- Улучшена поддержка распараллеливания на многопроцессорных и многоядерных системах. Задействованы атомарные операции C++11. Обеспечено корректное автоопределение модулей ввода/вывода IpcIo и Mmapped, что позволяет расширить спектр систем, на которых по умолчанию применяется хранилище кэша Rock;
- Функции обработки сигналов вынесены из основного фонового процесса в управляющий процесс, PID которого теперь записывается в файл squid.pid. Данное изменение позволило обеспечить интеграцию с внешними системами управления фоновыми процессами, такими как Upstart и systemd;- В исполняемом файле squid добавлена поддержка длинных параметров командной строки (--foo). Например, добавлен параметр "--foreground" для запуска основного процесса без перехода в фоновый режим (например, удобно применять вместе с опцией "-z" чтобы дождаться завершения инициализации кэша, а не возвращать управление сразу);
- Прекращена поддержка директивы cache_peer_domain, обработчика basic_msnt_multi_domain_auth, опций refresh_pattern ignore-auth и ignore-must-revalidate, а также встроенного парсера ESI (Edge Side Includes), вместо которого следует использовать парсеры из библиотек libxml2 или libexpat;
URL: https://www.mail-archive.com/squid-announce@lists.squid...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48903
ума не приложу, для чего он нужен в наш век повального HTTPS? тем-более что для reverse есть Nginx
тем-более когда вдобавок есть nuster и varnish что в разы быстрее
> тем-более когда вдобавок есть nuster и varnish что в разы быстрееУ Squid сильная сторона ACL и хелперы, плюс масштабируемость через создание кластера кэширующих серверов.
>> тем-более когда вдобавок есть nuster и varnish что в разы быстрее
> У Squid сильная сторона ACL и хелперы, плюс масштабируемость через создание кластера
> кэширующих серверов.спасибо за адекватный ответ
Слабая сторона сквида в том, что в наш век динамически генерируемых страниц, передаваемых по хттпс, ценность кеширования стремится к нулю. Сквид все еще довольно удобен в качестве анонимайзера, как хттп-прокси/фильтр для локальных сетей, а также как накопитель статистики, но кеширование давно мертво. Его место заняли CDN. WCCP со всей бахромой - бесполезный рудимент минувшей эпохи. Пародия на шейпинг в виде делей-пулов была мертворожденной изначально, и живее за прошедших 15 лет не стала. Ограничения доступа через аутентификацию сквидом во времена, когда у любого пользователя в кармане лежит неконтролируемо подключенное к инету устройство - это атавизм.Я очень люблю сквид, за свою практику я ставил его множество раз, я отправил прорву PR его разрабам, но сегодня он больше похож на любимую старую слепую беззубую собаку, которую ужасно жалко, и хочется обнять ее и плакать.
потрясающий ответ. именно нечно подобное испытываю когда читаю про новые версии Apache, Sendmail, Squid и подобные антикварные уже почти вещицы. вроде и приятно что до сих пор живы, но толку от них от "крайне мало" вплоть до "никакого"
Apache по прежнему очень широко используется многими компаниями и в других странах.
В некоторых аспектах его использование более целесообразно чем nginx.
Подскажите, пожалуйста, в каких? Действительно любопытно
mod_perl
Nginx unit уже умеет.
> Подскажите, пожалуйста, в каких? Действительно любопытноНапример в случаях необходимости динамически менять реврайты. Например в случае предоставления услуг шаред-хостинга.
Вот поставили вы на ваш хостинг с nginx, Prestashop, он вам стал выдавать 404 на все страницы кроме индексной. Лечится хитрожопыми реврайтами в конфиге.
Уверен что на месте владельца хостинга, вы бы не разрешали такие фокусы по одной простой причине: в случае nginx одна единственная ошибка в конфиге, пусть это даже заинклуженный vhost сугубо для одного сайта - кладет весь веб-сервер, в отличие от апача, которому в .htaccess можно писать что угодно.
Вот только целесообразность самой услуги шаред-хостинга вызывает сомнения.Нет, я, конечно, знаю, что вокруг полно людей с шаред-хостингами, битриксами и программистами на php в процедурном стиле, но это все выглядит как палеонтологический музей.
> Вот только целесообразность самой услуги шаред-хостинга вызывает сомнения.
> Нет, я, конечно, знаю, что вокруг полно людей с шаред-хостингами, битриксами и
> программистами на php в процедурном стиле, но это все выглядит как
> палеонтологический музей.Процедурный стиль :-). Ты так это говоришь, как будто это плохо.
В том виде, в каком его используют php-разработчики - плохо, даже ужасно.Хороший процедурный код я видел только на C, да и там с элементами ООП, выраженными через структуры с указателями на функции.
> Вот только целесообразность самой услуги шаред-хостинга вызывает сомнения.да, нахрен не надо. Все на гуглосайты!
а то гугл еще не все знает о ваших посетителях.никакого пехепе, никаких программистов - что дизайнер собрал из готовых гуглокубиков, то и жрите.
Я вообще-то про виртуализацию и контейнеры. Да и кроме PHP есть другие языки программирования (хотя, современный PHP, если грамотно использовать его возможности, не так уж плох).
> Я вообще-то про виртуализацию и контейнеры.дружище, мы там думали о том, как в один юнит или блейд всунуть не 400, а хотя бы 800 юзеров (юзер - это тот кто платит, у него не один сайт, не один домен, не одна только вебня - там еще почта, и еще какой хлам). Неужели ты думаешь, что мы вместо этого понаставим контейнеров, докеров-шмокеров и прочей моднявой глупости, чтобы вместо 400 получить, в лучшем случае, 200?
хрена тебе с два. Контейнеры и прочую мутоту понаставят в соседнем с нами отделе, где раньше предлагали честные виртуалки под вмварью, а теперь будешь в доцкере клацать параллельно с еще сотней таких же (вместо 50, которые помещались в виде vm так чтоб друг-другу не очень сильно мешать) - а мы еще и на лицензии дофига сэкономим, мухахаххаха!
P.S. лолшта - "а если поломают?" - да поломают обязательно, а если не поломают, рассыплется прекраснейшая overlayfs, но "мы же извинимся и предложим тебе нажать волшебную кнопочку "перенакатить контейнер с нуля", чем ты недоволен, я не пойму"? У виртуалок, если что, диски тоже были без резервирования, так что сильно не плакай.
плюшки типа детальной статистики, что умеет только платная версия nginx-а, apache умеет за бесплатно.
> потрясающий ответ. именно нечно подобное испытываю когда читаю про новые версии Apache,
> Sendmail, Squid и подобные антикварные уже почти вещицы. вроде и приятно
> что до сих пор живы, но толку от них от "крайне
> мало" вплоть до "никакого"Как reverse proxy его, как и Apache Trafficserver, пользуют вовсю в корпоративных сетях.
> ценность кеширования стремится к нулюО, как. Интересно, а почему тогда в браузерах кэширование все еще используется по-умолчанию?
> О, как. Интересно, а почему тогда в браузерах кэширование все еще используется по-умолчанию?Потому что браузер это клиент, собственно его кеширование - самое идеальное, поскольку запоминается в том виде в котором оно понятно браузеру безо всяких преобразований.
В эпоху повального https кешировать что-либо МЕЖДУ сервером и клиентом (браузером) становится невозможно. Да и в принципе не нужно: вашей мобилочке на 3G абсолютно насpать, получит она котика.jpg за 1.5с без кеша, или за 1.1с с кешем.
>В эпоху повального https кешировать что-либо МЕЖДУ сервером и клиентом (браузером) становится невозможно.Возможно же, при помощи сабжа.
>получит она котика.jpg за 1.5с без кеша, или за 1.1с с кешем.
Почему за 1.1, а не 0.01, если кэш локальный? А если ходить через Tor/VPN, то разница еще заметней.
> Почему за 1.1, а не 0.01, если кэш локальный? А если ходить через Tor/VPN, то разница еще заметней.Для локального кеша прокси не нужен. Все сохраняется в браузере. У меня например за день серфинга набигает где-то 300 Мб в папке ~/.cache/google-chrome.
Кроме того, если кешированный файл будет получаться при помощи HTTP-запроса, все равно TTFB и передачу никто не отменял. У меня с локального сервера, подключенного ко мне через гигабитную сетку с пингом в 0.3мс, при открытии картинки в 117Кб, почти 3мс идет на TTFB, и 221 мс идет на передачу.
Поэтому...Может раньше в эпоху магистралей по 2 мегабита на страну, это и было актуально, а вот теперь можно закoпать :)
> Для локального кеша прокси не нужен. Все сохраняется в браузере.Squid обеспечивает единый кэш. Хоть для одной машины, хоть для ста.
>> ценность кеширования стремится к нулю
> О, как. Интересно, а почему тогда в браузерах кэширование все еще используется по-умолчанию?Потому что для браузера нет проблемы потока, завернутого в ссл/тлс.
А для Squid есть?
А современные браузеры кэшируют контент, полученный по HTTPS? Я когда в последний раз проверял (давно) - не кэшировали, не потому что не могут, а по соображениям безопасности.
> Пародия на шейпинг в виде делей-пулов была мертворожденной изначально, и живееМожно было метить соединения и формировать полосу уже на уровне системной стенки.
>> Пародия на шейпинг в виде делей-пулов была мертворожденной изначально, и живее
> Можно было метить соединения и формировать полосу уже на уровне системной стенки.Вне сквида можно шейпить, как заблагорассудится. Делей-пулы же реализуют исключительно нарезку полос, что концептуально неприемлемо в большинстве юзкейсов.
> Я очень люблю сквид, за свою практику я ставил его множество раз,
> я отправил прорву PR его разрабам, но сегодня он больше похож
> на любимую старую слепую беззубую собаку, которую ужасно жалко, и хочется
> обнять ее и плакать.И тем не менее он работает, если вам не нужно, это не значит что всем не нужно.
> И тем не менее он работает, если вам не нужно, это не значит что всем не нужно.Я же написал, что некоторые функции сквид и сейчас выполняет неплохо. Но он, в первую очередь - кеширующий прокси, и именно кеширование потеряло всякий смысл. Если и использовать сквид сейчас, то не ради кеширования, а ради его второстепенных функций, вроде фильтрации/блокирования или учета/контроля. Когда я поставил сквид впервые, в 1997 году, на выделенке 96 кбит/сек, мне удавалось доводить HIT/MISS до 3/5 по объему, варьируя мин-мах размеры кешируемых объектов и сроки хранения. Сегодня этот показатель вряд ли удастся дотянуть до 1/100. Что вполне укладывается в статистическую погрешность.
> размеры кешируемых объектов и сроки хранения. Сегодня этот показатель вряд ли
> удастся дотянуть до 1/100. Что вполне укладывается в статистическую погрешность.последний апологет показывал мне 20% (что в целом уже оправдало бы геморрой), но это было еще до эпохи шантажа гуглем не-https'ных сайтов, а настройки уже были не очень приличными (то есть юзер мог получить чужую или устаревшую страницу, совершенно не понимая, что это и как с этим бороться)
Для этого и используем. Все равно ведь интернет через нат это не вариант для завода. И кстати ssl bump не плохо справляется с задачами. Я и через антивирус ssl трафик прогоняю через c-icap. Зря тут выше рыдают, в корпоративных squid ещё нужен.
CDN используют Squid. Работает схема очень просто, берут трафик сайта, расшифровывают, кэшируют, подписывают своим сертификатом. В результате получаем MITM на который не ругаются браузеры.
Стоит добавить, CDN используется для глобальной слежки которую невозможно отключить. Любой CDN круче Google.
> CDN используют Squid. Работает схема очень просто, берут трафик сайта, расшифровывают,
> кэшируют, подписывают своим сертификатом. В результате получаем MITM на который не
> ругаются браузеры.Обычно клиент загружает свой сертификат и расшифровывать ничего не надо (это стандартный кейс)
Обычно клаудфларь использует один свой сертификат сразу на 100 доменов. Дяде можно.
А до самого сервиса пусть трафик ходит по http?
> CDN используют Squid. Работает схема очень просто, берут трафик сайта, расшифровывают,
> кэшируют, подписывают своим сертификатом. В результате получаем MITM на который не
> ругаются браузеры.А меня не научите так делать? Я давно хотел очень просто брать трафик сайта, расшифровывать и подписывать своим сертификатом, чтобы браузеры не ругались. Есть у меня на примете несколько онлайн-банкинговых сервисов, которые остро нуждаются в моем CDN, что бы вы под этим ни понимали.
> Есть у меня на примете несколько онлайн-банкинговых сервисов, которые остро нуждаются
> в моем CDN, что бы вы под этим ни понимали.ну ты объясни их эффективным-менеджерам про острую нужду, только в сбер не ходи, им уже мэйлру объяснила, нам не светит, а когда найдешь таких, которые поведутся - приходи, я тебе за небольшой процентик все нормально настрою.
Ты главное объяснить умей - это вот талант надо, он не всем дается. Но у некоторых определенно есть. Глядя на рутового троянца имени одного cisco subsidiary на своих хостах... Не, работать оно не будет, ну так этот тоже не работает, и еще и сервер иногда вешает - и ничего.
он корпорастам нужен. там где тотальный контроль с прозрачным MITM или вообще с доступом через прокси онли, сквид - самое оно. и тут очень на руку его возможности по интеграции..
>Ограничения доступа через аутентификацию сквидом во времена, когда у любого пользователя в кармане лежит неконтролируемо подключенное к инету устройство - это атавизм.Ограничение доступа нужно не для того, чтобы пользователь не ходил в социалочки вообще, а для того, чтобы он не делал этого с рабочего места, симулируя при этом бурную деятельность. Да, можно отслеживать и депремировать, но как показала пракика даже ежемесячные экзекуции не останавливают некоторых пользователей от просмотра порнушки (не шутка, даже не смешно).
> У Squid сильная сторона ACL и хелперы, плюс масштабируемость через создание кластера
> кэширующих серверов.Слабая - это ограничение скорости средствами в пространстве пользователя а не ядра, невозможность подружить с ядерным tc (traffic control).
> nuster и varnishА они умеют кэшировать https? Как это делает Squid с SSL-Bump. Если я правильно понимаю, то задачи у них разные.
Его SSL-Bump как раз и нужен для организации прозрачного кэширования/перехвата/подмены/блокирования HTTPS-трафика на предприятиях.
> Его SSL-Bump как раз и нужен для организации прозрачного кэширования/перехвата/подмены/блокирования
> HTTPS-трафика на предприятиях.товарищ майор, вы забыли залогиниться
Кэширование и на локалхосте не лишнее. :-)
Ну да, в браузерах ведь этого нет ;)
1. Подключение может идти через прокси или VPN.
2. Кэширование (при помощи Squid) может осуществляться на прокси/VPN-сервере.
Надо этот вопрос задать akamai - зачем они используют Squid? ;-)
будь добр, ответ (если вдруг будет внятный) сюда процитируй :)
Как раздать интернет на 100 пользователей при ширине канала 20 мбит , без торентов и вирусов , со стабильной скоростью ?
> Как раздать интернет на 100 пользователей при ширине канала 20 мбит ,1. увольняем админчика по сокращению, если нельзя поймать на горячем
2. его зарплату отправляем, вместо домсру и прочих помоек, ближайшему нормальному оператору связи (обычно это билайн/мегафон/мтс/ростелек - догадайтесь сами, почему) -
3. получаем канал в 100 мегабит с приемлемыми параметрами и вменяемой техподдержкой, и, скорее всего, дополнительный профит, ибо даже зарплата (+100% налогов и поборов) где-нибудь под ебургом все еще больше, чем то что сдерут с нас эти монстры в том же ебурге.> без торентов и вирусов ,
4. заставляем сотрудников подписать трудовой договор, в котором жестко указано, чем они могут и должны заниматься на рабочем месте, а что категорический ай-ай-ай. Первого же попавшегося на торрентах и варезе - увольняем с волчьим билетом, если упирается - по суду, не забыв разослать по компании подробное описание сколько он остается ей должен в качестве компенсации за нанесенный ущерб.
В результате - канал стабилен и быстр, деньги сэкономлены, бывший админчик с синдромом царька идет переустанавливать винду по квартирам и попадается на контрольной закупке, туда же идут его дружбаны-саботажники, потому что именно они, а вовсе не престарелая бухгалтерша и товаровед, основные пользователи торрентов - тем и некогда, и не умеют они. А котиков в контактике пусть дальше лайкают, людям нужна возможность переключаться в течении рабочего дня. Если кто-то увлекшись забывает работу - для этого есть объективные показатели, по результатам которых он просто остается без премии.
Я так работал в компании с поболее тысячи человек сотрудников в центральном офисе и кучкой сателлитов, и ничего, сквид был совершенно не нужен. Люди на работе занимались - работой, в основном, потому что от нее впрямую зависела их и их коллег зарплата.
"заставляем сотрудников подписать трудовой договор, в котором жестко указано, "
дальше можно не читатьВозвращаем админа на место
да? Может в ваших щебенях еще и зарплата в конвертиках? А то я вот уже хз когда последний раз видел трудоустройство без чтения толстой-толстой книжки "что тут можно, а что нельзя". Подпись, дата в журнале ознакомления.
И да, по сути (формально оформлено чуть иначе, лень разжевывать) - это приложение к договору.
> да? Может в ваших щебенях еще и зарплата в конвертиках?Всяк лучше, чем отдавать 13% хз кому, и не дожить до пенсии.
>> да? Может в ваших щебенях еще и зарплата в конвертиках?
> Всяк лучше, чем отдавать 13% хз кому, и не дожить до пенсии.ну так в таком месте и уволить могут без всяких трудовых - и жаловаться некому будет. Скажи спасибо, что не в подвальчике аккуратно в ямку под слой бетона.
А могут не уволить, не отпускать в отпуск годами, зарплату задерживать на пол-года, и мягенько намекнуть, что пока проект не доделают - сам ты уволиться тоже не можешь. Чорный нал - это, батенька, нонче не мелкая фигнюшка, это значит что контору контролирует очень серьезная братва. Невинные игры в крысу тут кончились еще лет десять тому.
Гораздо больше 13%. Ты забыл про налог, что платит за тебя работодатель (20% и выше), что, соответственно, понижает твою белую зарплату.
>увольняем админчика по сокращению
>Я так работал в компанииА, ну теперь понятно откуда такой эпос. Так ты теперь не "царек"? Или нашел других дураков, которые тебя взяли?
>>увольняем админчика по сокращению
>>Я так работал в компании
> А, ну теперь понятно откуда такой эпос. Так ты теперь не "царек"?
> Или нашел других дураков, которые тебя взяли?Кто-то же ходил по рабочим местам и проверял соблюдение. Не царьки, погонщики.
> Кто-то же ходил по рабочим местам и проверял соблюдение. Не царьки, погонщики.аллах с тобой, зачем? Повторяю ключевой тезис: люди на нормальной работе вообще-то обычно - работают.
Проверяют непосредственные руководители, что работа сделана. Если не сделана - им все равно, почему. На опеннете ты сидел, на лошадок др...л или просто плохой работник. Там оклады были очень унылые, основной заработок - процент от цены проекта в премии.Ну и тебя даже увольнять не надо - просто в следующий хороший проект тебя не берут, а вешают на тебя поддержку какой-нибудь тухлятины, которая деньги не платит уже пол-года и кормит завтраками и звонит по ночам на мобило. И через пару месяцев сам уволишься с тоски и безденежья, а если нет, так и прекрасно, тухлятина прикрыта, деньги достались тем кто их заслуживал.
А мы - максимум, если анализатор аномального траффика сработал - отрубали линк. Дальше умный сам прибегал "ребята, а дайте диск с виндой, кажись, какой-то триппер подцепил", глупому приходилось тыкать носом. Опять же - им на самом деле работать надо было, а не искать способы обойти систему.
А если кто-то на ночь оставлял ноут с торрентом, аккуратно залимитив траффик - ничего ему за это не было. Оно вряд ли секс с конями, скорее всего для работы что-нибудь нужное. Проверять, пока никому не мешает, в любом случае ни мне, ни кому-то еще, в голову бы не пришло, мы тоже на работе, вообще-то, работали.
> А, ну теперь понятно откуда такой эпос. Так ты теперь не "царек"?не, давным-давно уже простой инженер. В админы не берут что-то - разговор в лавке с количеством сотрудников уже сильно за 10000 закончился "нууу, тебе похоже у нас будет скучно". И, наверное, так и есть, а винду я не умею.
Админом стало скучно даже в той, в общем-то вполне неплохой и внутри интересно устроенной лавке. Кажется, я понимаю, почему вы ищете развлечений в подглядывании за пользователями и строительстве им проблем на пустом месте. ;-)
увольняем админа , получаем кучу проблем , жалоб , звонков , поломанных , завирусованных компов , на договор всем все равно , доказательств никаких не будет, канал в 100мбит за 100 млн в месяц, забивается торентом, потом приходит петя ну и тд..
> увольняем админа , получаем кучу проблем , жалоб , звонков , поломанныхкаааакой ужас. Нимб не мешает?
> , завирусованных компов , на договор всем все равно , доказательств
> никаких не будет, канал в 100мбит за 100 млн в месяц,
> забивается торентом, потом приходит петя ну и тд..а ведь могу я придти, вместо пети. И доказательства - появятся. В том числе и почему что-то стоит миллионы в месяц, когда должно десятку. Причем это разовая услуга, зарплату мне регулярно платить не придется.
Я, кстати, рекомендую обращаться ко мне частным образом раньше, чем это сделают борцуны за авторские права, или конкуренты. А то ж мне все равно, на кого работать.
а я откуда знаю ? рога то у вас
А с просмотром онлайн-сериалов как боролись ? Не всеж пользователи тупые могут и в режим инкогнито запускать браузер. А с торрентами как ? как отслеживали кто полосу забил ?
> А с просмотром онлайн-сериалов как боролись ?зачем?
> Не всеж пользователи тупые могут и в режим инкогнито запускать браузер.
ну и смысл? Во-первых, опенспейс всем плох, конечно, но хорош тем что все могут видеть твой сериал.
Во-вторых, да и хрен с ним - а работу-то ты сделал?> А с торрентами как ?
никак, инженеры если хотели - качали, иногда и с нами делились кое-чем ценным, что было недоставемо другими способами. А бухгалтерия как-то не хотела, видимо. Тогда, правда, еще не успели изобрести mTP, который изрядно ухудшал жизнь всем (включая самого качальщика) и выключается по сей день нетривиально, в других местах потом приходилось с ним (а не с торрентами) избирательно бороться.
> как отслеживали кто полосу забил ?
по аномалиям траффика на access/fw. Да, access там был не пластиковыми длинками за пиццот рубелей, разумеется. Но оно бы, наверное, и сдохло бы, если бы так сэкономили.
Но чаще аномалии были вызваны мэйл-троянами, они в те годы еще были популярны у юзеров. Торренты использовали те, кто умел, буквально пару раз пришлось просить прикрутить фитиль.
Видимо в вашей компании было явно наплевать на корпоративную безопасность, ибо когда документы типа реестра или закупок всплывут явно не там и неожиданно для руководства, то ай яй будет поздно. А вот руководителя который так безвозмездно отдал весь трафик какому то провайдеру (весь - ключевое слово), походу может потом и в лес сьездить... Думаю тут обьяснять причину смысла тупо нет.
Лол, админа он уволит, как будто тот только Wi-Fi хипстерам раздаёт. В компании на 1000 рабочих мест сидит уже целый отдел ИТ (как минимум несколько эникеев под одним админом, но скорее уже разделение направлений между несколькими админами), если это конечно не говноконтора менеджеров по перепродаже шлака с Китая, где инфраструктуры как таковой нет. Тот факт, что работа админов не заметна - огромный плюс в их сторону.
Если по-вашему админ - тот кто ставит варез на компы юр. лица, то ощущение говноконторы от места вашей работы еще сильнее. По договору обычно админ несет полную материальную ответственность за издержки предприятия вызванные установкой им нелицензионного ПО.
> повального HTTPSБампинг? Нет, не слышали... SNI? Нет, не знаем...
Если вы не знаете, как применить тот или иной инструмент, это не значит, что их нужно прекратить их разработку, и что все обязаны ознакомиться с вашим мнением на эту тему.
Есть ещё в этой стране регионы, где только 2G, да и тот с трудом. И их много. Локальный кэш на ноуте в этом случае спасает.
> Есть ещё в этой стране регионы, где только 2G, да и тот с трудом. И их много.Опять байки о том, что за МКАДом есть жизнь?
Ну, все еще есть юзкейсы, где приходится шейпить траффик на узком канале в точке где нет 3G/4G и вообще другой связи практически нет. И даже небольшая экономия на статическом контенте дает выигрыш.Хотя, соглашусь, что это уже почти уникальный вариант.
> Ну, все еще есть юзкейсы, где приходится шейпить траффик на узком канале
> в точке где нет 3G/4G и вообще другой связи практически нет.там обычно еще с электричеством/климатизацией/просто надежной дверью в серверную фигово (а ацетилен есть ;-) - поставить что-то серьезно кэширующее не получается по этим причинам, котики отожрались ныне.
А на If-Modified-Since (да over https, а значит и пакованный) много не наэкономишь - проще уж юзерам увеличить их диски и локальные кэши.
Оно и дешевле на круг выходит, и отказ локального диска - это один юзер, а отвал хранилки сквида - это жопа на точке.
> ума не приложу, для чего он нужен в наш век повального HTTPS?
> тем-более что для reverse есть NginxВидать ты не ловил оверлоад по диску на Nginx )))
> тем-более когда вдобавок есть nuster и varnish что в разы быстрее
И пирится с геораспределёнными соседями из разных ДЦ они умеют?
ЗЫ У Squid конкурент только ATS
> Видать ты не ловил оверлоад по диску на NginxЭмм... А какая разница? Что в сквиде тредпул, что в nginx.
Ну и да - чем HTTPS мешает сквиду? В тех практических применениях, которые я вижу, сквид в качестве MITM вполне оправдан.
Squid может работать с HTTPS. На предприятии очень удобен для резки рекламы, разделения пользователей(веба) с авторизацией, кэширования(уже не так актуально) и прочего. Да, дома для кэширования его ставить не рационально, но резать рекламу - самое то.(вдобавок к браузерным дополнениям)
> Да, дома для кэширования его ставить не рациональноЧто тогда рационально для дома?
А не знаю. Он же:) Только зачем/что кэшировать ДОМА? Смысл-то в том, что один человек зашёл на сайт - что-то в кэш упало, другие пошли - взяли что-то из кэша.
Так сейчас и дома у одного человека по несколько устройств, где браузер установлен. Зашёл на сайт со смартфона - что-то в кэш упало, зашел с ПК - взял что-то из кэша.
Ну так придётся для всех устройств прокси указывать, переключать его всё время. Можно конечно перед точкой доступа мини-пк со squid поставить...
> Squid может работать с HTTPS. На предприятии очень удобен для резки рекламы,
> разделения пользователей(веба) с авторизацией, кэширования(уже не так актуально) и прочего.
> Да, дома для кэширования его ставить не рационально, но резать рекламу
> - самое то.(вдобавок к браузерным дополнениям)Тупо резать рекламу можно и через что-нибудь куда по-проще, - tinyproxy, например...
HTTPS(а он уже практически везде) вроде как только squid поддерживает. Я пробовал другие, более лёгкие прокси задействовать, на этом и споткнулся.
> Добавлена директива on_unsupported_protocolЭто для web-socket ?
скорее для bittorrent :)по-моему это как-раз для тех самых "предприятий" где для спокойствия товарища майора весь траффик cо скоростью света расшифровывается на уровне squid. ну а чтоб товарищ майор не огорчался, пользователи bittorrent через 80-й порт напрямую свой траффик гонят - без расшифровывания :)
> Пользователям прошлой стабильной ветки 3.5 рекомендуется спланировать переход на ветку 4.1Конфиг сильно придется править?
Даже не знаю что с ним теперь делать. :)В лучшие времена, году в 2008-2012 в лучшем случае 20% была эффективность кеша, и то если подкрутить типа нарушая кой какие стандарты.
Тогда же было удобно юзать его для блокировки рекламы.Сейчас я просто унёс все домены в начале в nginx (когда мне кеширование перестало быть нужно), а потом в unbound чтобы домены тупо не резолвились и таким образом реклама блочится в HTTPS тоже.
Ещё раньше были начальники-повелители инета: ну там доступ по паролю в инет и с квотами, скажем 10мб в сутки, 100мб в месяц. С безлимитом не всех отпустило, некоторые продолжали зажимать инет, другие собирали статистику как компромат. Мобилки с инетом лишили их этой возможности, не знаю как теперь эти психи отрываются. Наверное особо неадекватные трекеры времени в компы пихают.
Ещё живой заповедник для настальгирующих:
http://www.eserv.ru/WhatIsProxyServer
http://www.eserv.ru/NAT
> потом в unbound чтобы домены тупо не резолвились и таким образом реклама блочится в HTTPS тоже.И теперь загрузка страниц долгая, до таймаута резолва.
ибо нехрен пакеты доропать, а нормально и понятно режектить, и не будет никаких долгих загрузок.
Нет, там стоит 0.0.0.0 и анбоунд отвечает сразу ошибкой.
Это идиоты пишут 127.0.0.1 в hosts для блокировок.
Неужели ещё остались люди, которые верят во всесилие мобильного интернета и в то, что админы на предприятии вредят пользователям, а не выполняют свою работу? Кто вас обидел, болезный?
> Неужели ещё остались люди, которые верят во всесилие мобильного интернета и ва что, мабилки тоже отбираешь при входе?
> то, что админы на предприятии вредят пользователям, а не выполняют свою
> работу? Кто вас обидел, болезный?я охотно верю, что офисные рабы, называющие себя "админами", считают своей "работой" слежку и вредительство. Поскольку регулярно на таких натыкаюсь последние лет десять, ровно с момента, когда сам перестал быть админом. Причем, в большинстве случаев, у них нет на это даже четкого приказа начальства - действуют по зову сердца и воле партии.
> а что, мабилки тоже отбираешь при входе?Узнаю (бывшего) гопника.
1. Существуют предприятия, где есть секретность.
2. Существуют предприятия, где есть ограничения на съёмные носители и интернет ограничен в связи с возможностью утечек.> я охотно верю, что офисные рабы
На это можно закончить. Изучите понятие рабства.
И да, люди, пользующиеся своей властью — не обязательно админы. Но это гнильца людей, а не админов. А если вы судите по профессии, то, оказывается, вы и сами гнилой донельзя.
Предприятия бывали и бывают разные.
Раньше интернет часто использовали как кнут и как пряник, и он был ценным ресурсом.
Конкретно админов с раздутым ЧСВ уже давно нет, но встречаются повёрнутые руководители, которые хотят как минимум знать куда ходят сотрудники, а порой и социалки и прочую "развлекаловку" режут.
Я надеюсь что у вас свой успешный бизнес, где сотрудники имеют право постоянно висеть в соцсетях за ваш счёт. Если не так, то к чему ваш плач?
> Я надеюсь что у вас свой успешный бизнес, где сотрудники имеют право
> постоянно висеть в соцсетях за ваш счёт. Если не так, то
> к чему ваш плач?Да это вообще не тот вопрос, который следует рассматривать. Люди, которым есть чем заняться, не станут "висеть в соцсетях" и вообще развлекаться в ущербу делу, даже дома.
у меня своего нет, но бизнес, где (слегка - в силу моего саботажа ;-) сотрудники имеют такое право с 98го года - жив до сих пор и вполне неплохо себя чувствует.А _все_ конторы,где админы героически боролись с пользователями, в которых мне с тех пор случалось поработать или мимо пробежать - почему-то банкроты или куплены чем-нибудь малоприятным, типа ростелекома. Совпадение, ну конечно же!
> у меня своего нет, но бизнес, где [я]...
> А _все_ конторы,где админы героически боролись с пользователями, в которых мне...
Ветер дует оттого, что деревья качаются.
да нет, просто если деревья на улице уже не качаются, а падают - лучше не открывать форточку, чтобоы проверить, сильно ли там дует.Как ты понимаешь, если админы вместо работы вредят пользователям, а руководство их почему-то не хочет поставить на место, даже не дожидаясь жалоб (ибо вменяемому и так все будет видно) - то и пользователи в такой конторе точно так же "работают" в своих областях ответственности - старательно ее с себя спихивая по принципу "лучше ничего не сделать, чем понаделать чего-то, за что потом будешь отвечать ты сам", и т д. А поскольку рыба тухнет с головы - сам понимаешь, что там представляют собой пользователи рангом повыше - и каковы, в итоге, экономические результаты подобной деятельности в долгосрочной перспективе, когда инвесторские деньги проедены, хайп стих, а зарплату всем подавай - они ж приседали и кланялись,и ютруп на рабочем месте никогда не открывали (поди открой, когда заколочено).
> Конкретно админов с раздутым ЧСВ уже давно нетэто тебе просто везло (у тебя может вообще админов нет, или они только картриджи трясут, учитывая специфику рабочей деятельности?)
мои предыдущие, гхм, коллеги - все еще работают. И нет, это не вредные руководители их заставляли, это они им писали служебки и кляузы, уговаривая еще что-нибудь запретить, а то ж то вирусы, то место,то еще что- а им работать неохота. Вирусов, по факту, меньше не стало, а вот в интернет многие начали ходить через паблик, а не через глючащий тормозящий прокси.
(и по джампхосту на каждом сервисе - включая и пачку собственно it-отдела, не сумевших договориться с собственным руководителем или просто не желавших время на него тратить)> а порой и социалки и прочую "развлекаловку" режут.
и теряют клиентов, которым удобнее выяснить свой вопрос через чятик, чем вот это вот "оператор ответит менее чем через..."
Причем чем дальше - тем больше.
> Даже не знаю что с ним теперь делать. :)выкрасить и выбросить, он уже и в 2008м был абсолютно ненужен.
твоё Икспертное мнение очень важно для нас. Продолжай.
> Ещё раньше были начальники-повелители инета: ну там доступ по паролю в инет
> и с квотами, скажем 10мб в сутки, 100мб в месяц. С
> безлимитом не всех отпустило, некоторые продолжали зажимать инет, другие собирали статистикуКакой еще "безлимит"? Интернет денег стоит. Также не забывайте, старина, ваше (всех нас) наемное рабочее время УЖЕ куплено. И что там у кого в кармане, мобила или фига, их дело, а доставать не смей. Где это там штрафуют (чуть ли не до увольнения) за разговор по собственной мобиле в рабочее время?
Это сказавши, до чего же сквидовская функция "ограничения полосы" вынимала админовскую печенку.
сидел на версии 2 все летало , на версии 3 стал жрать очень много рама(500 -1000 мб) , 4 версия так понимаю будет 2 гб есть
> сидел на версии 2 все летало , на версии 3 стал жрать
> очень много рама(500 -1000 мб) , 4 версия так понимаю будет
> 2 гб естьТак это общая тенденция "развития" программных средств -- делается одно и то же, но за неуклонно больший ресурс.
Не помню, пришлось ли мне с 3-кой работать, а 2-ка не напрягала.
> сидел на версии 2 все летало , на версии 3 стал жрать
> очень много рама(500 -1000 мб) , 4 версия так понимаю будет
> 2 гб естьтак может и трафика гонялось в разы меньше там же настройки есть для кеша в памяти
конфиг переносился на 3 версию со 2
> Интернет денег стоит.дешево, очень дешево - сравнить с зарплатой царька-всея-прокси.
> Также не забывайте, старина, ваше (всех нас) наемное рабочее время УЖЕ куплено
тебе паспорт-то хотя бы отдадут после 18:00, или так пристегнутым к батарее и живешь?
> Где это там штрафуют (чуть ли не до увольнения) за разговор
> по собственной мобиле в рабочее время?не знаю. Вероятно где-то как раз там, где куплено "рабочее время", а не результаты работы.
Которую ленивые рабы будут делать как можно дольше и хуже - куплено-то - "время", поэтому надо напрячь мозги и руки как можно меньше, а то ж еще чем нагрузят дополнительно. А замок на твоей ноге отомкнется ровно в 18:00, независимо ни от чего.
>> Интернет денег стоит.
> дешево, очень дешево - сравнить с зарплатой царька-всея-прокси.А если сравнить с зарплатами погонщиков (необходимо иметь более одного)?
>> Также не забывайте, старина, ваше (всех нас) наемное рабочее время УЖЕ куплено
> тебе паспорт-то хотя бы отдадут после 18:00, или так пристегнутым к батарее
> и живешь?Да ну?? А кто тут задвигал про договоры и волчьи билеты??
>> Где это там штрафуют (чуть ли не до увольнения) за разговор
>> по собственной мобиле в рабочее время?
> не знаю. Вероятно где-то как раз там, где куплено "рабочее время", аНа западе, старина.
> А если сравнить с зарплатами погонщиков (необходимо иметь более одного)?а ты кого имеешь в виду? Тимлидов/руководителей нижнего звена (обычно именно они персонально отвечают за продолбанное попусту подчиненными время) ? Службу безопасности (если вообще мышей ловит - я за всю жизнь работающую видел краем глаза в киви - и то это по их собственным словам она была работающая, а как там на самом деле - свечку не держал)
их иметь полюбому приходится, и платить зарплаты тоже.
> Да ну?? А кто тут задвигал про договоры и волчьи билеты??
там чаще про "контрафактный софт", "использование корпоративной почты и атрибутов в личных целях" и охрану тайны. (вполне достаточно в большинстве реальных случаев, чтоб избавиться от саботажников и вредителей, хотя попадаются чудеса с героическими попытками запретить интернет и копирование странички из паспорта на корпоративном ксероксе, но зачем там работать, если они это всерьез?)
>> не знаю. Вероятно где-то как раз там, где куплено "рабочее время", а
> На западе, старина.запад - он разный. Где-то вон сотрудник (пусть внештатный) NSA брал работку на дом (надо понимать, что вовсе не потому что очень любил работать, а наоборот - потому что в офис вообще редко заглядывал) - и ничего, никого не интересовало по какой там мобиле он говорит, пока касперский не спер у него классифицированные документы, а хитрые евгеи их на этом не спалили.
На восточном побережьи вообще полно контор где в пятницу на работу приходят редкие неудачники, оставленные дежурными звонильщиками, да и в четверг все норовят смыться в четыре, а не в шесть (там индусов сильно меньше(любят), чем в гейареа, поэтому работодатели терпят). Ну какой нафиг контроль мобил может быть, когда половину времени ты работаешь из дома? Тикеты в жире закрываются? В отведенное время? Ci зелененькая? Ну и прекрасно.
>> А если сравнить с зарплатами погонщиков (необходимо иметь более одного)?
> а ты кого имеешь в виду? Тимлидов/руководителей нижнего звена (обычно именно они
> персонально отвечают за продолбанное попусту подчиненными время) ? Службу безопасностиСначала альтэр эго твой отрицал нужность работы админов, и именно в части следить и пресекать, а потом у него же получились "админы", и уже и не один. Мне за админов не обидно, я с удовольствием сбежал с этого направления, но это же мозаика какая-то.
В части прочего -- да, волга впадает в каспийское море.
С законом яровой скоро привет безлимитам будет. Вот про сквида-то и вспомним.
> С законом яровой скоро привет безлимитам будет. Вот про сквида-то и вспомним.будем прон на флешках носить между компами
Он вступил в силу, но безлимит остался.
"С 1 июля «пакет Яровой» вступил в силу только в отношении «голосовых услуг связи». Это значит, что операторы связи обязаны записывать и хранить (в данном случае — полгода, начиная с 1 июля 2018 г.) все телефонные разговоры всех абонентов. В отношение интернет-трафика вступление в силу перенесено на 1 октября."
>перенесено на 1 октября 2118 года.
>>перенесено на 1 октября 2118 года.допереносишься у меня!
> "С 1 июля «пакет Яровой» вступил в силу только в отношении «голосовых
> услуг связи». Это значит, что операторы связи обязаны записывать и хранитьпоэтому эти сцуки позвонили мне на мобилу, зарегистрированную на Курыгбылды Мрамбазабаева, и навязали, гады, практически безлимитный тариф - голосовой.
Видимо, чтоб диски не простаивали.
> В отношение интернет-трафика вступление в силу перенесено на 1 октября.
поэтому халявного интернета отвалили немного, на почту хватает, но не более того.
сразу видно профессионального бездельника ))))
А какие есть хорошие альтернативы Squid в продакшене (большой, не средний бизнес)?
Нужно резать рекламу, шейпить трафик (приоритезация) по кастам и нуждам и протоколам и пр., блочить некоторые сайты (т.е. поддержка https нужна, надо это уметь).
> А какие есть хорошие альтернативы Squid в продакшене (большой, не средний бизнес)?checkpoint/paloalto/fortinet, на худой конец
то есть, собственно, странно что твой "большой бизнес" до сих пор не под кем-то из этой троицы.
Спасибо.
Бизнес то может и таки средний на 200 компов + разные устройства. Но хотелось бы взрослеть и быть в теме :) А то я только Squid и знаю, который уже не удовлетворяет.
а, нет, тогда squid ваше всьо.
Ну или не страдать фигней - "подглядывать нехорошо".Помянутые игрушки предназначены для тех, у кого больше 2000 - причем у них должно быть не только количество, но и серьезные требования к эффективности решения, иначе нет смысла платить столько денег, а потом танцевать на граблях.
И да, надо еще и понимать, что это не замена dlp софта и оборудования (и так построенной работы, чтобы они вообще могли помочь).
ISA
сдохла.
Pfsense.
Лучшее из комплексного открытого ПО в кач-ве fw и т.д.
https://forum.netgate.com/category/10/russian
forum.netgate.com/topic/120102/proxmox-ceph-zfs
lab.deep.bg/pfsense/the_pfSense_book_05.2017.pdf
"троллейбус-из-буханки.jpg"
"но зачем?"если поиграться, не нужен ceph-zfs-прочийтреш.
Если работать - proxmox тут нафига?
Кто ж в витруальный хост втыкает грязный интернет и ставит на нем бордер (ну разьве что ты продаешь всякое *aas другим неудачникам) ?
Господа, у нас активно используется icap (с ssl_bump), плюс разграничение через ACL на основе авторизации в AD, парсинг на SAMS
на сотрудников можно действительно собирать компромат, включая контент с сайтов
если говорить про прозрачный сквид, то я бы предпочёл его в связке с squidguard или rejik, который параллельно фильтрует сайты по контенту содержания
ну и не знаю о чём тут говорит половина, но в ssl_step1 или при рукопожатии обмен трафика происходит через http, и url-ы прекрасно видны в squid, на основании чего их можно фильтроватьЕсли у вас организация в 150-200 человек, а ещё лучше только айтишников, тогда действительно, squid не нужен, во всех остальных случаях для сохранения целостности сети стоит его использовать