После двух лет тестирования вышел (http://marc.info/?l=squid-announce&m=126996558222684&w=2) первый стабильный релиз прокси-сервера Squid 3.1.1 (http://www.squid-cache.org/Versions/v3/3.1/RELEASENOTES.html), который по заявлению разработчиков готов для промышленного использования.
Прошлая стабильная ветка объявлена неподдерживаемой, кроме выпущенного 14 марта релиза 3.0.STABLE25 (http://www.squid-cache.org/Versions/v3/3.0/) больше обновлений выпускаться не будет. В настоящий момент усилия разработчиков направлены (http://wiki.squid-cache.org/RoadMap/Squid3) на развитие ветки Squid 3.2, в ветке 3.1 отныне будут производиться только исправления уязвимостей и проблем со стабильностью, также допускается внесение небольших оптимизаций.
Наиболее интересные новшества Squid 3.1:
- Поддержка (http://wiki.squid-cache.org/Features/ConnPin) транзитной NTLM-аутентификации, может применяться для проксированных соединений к серверу с использованием Microsoft Integrated Login;
- Полн...URL: http://marc.info/?l=squid-announce&m=126996558222684&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=26039
Поддержка IPv6 отключается только пересборкой с --disable-ipv6 ?
>Поддержка IPv6 отключается только пересборкой с --disable-ipv6 ?Да, по умолчанию с IPv6 собирается :-(
Когда сделают возможность отключать IPv6 в конфиге?
Вот ведь как бывает - кто-то уже давно ставит 3.1 из debian-experimental как раз ради IPv6, а кто-то до сих пор ищет, как его отключить. :)
В ipv6 стеке потенциально есть большое число уязвимостей, так как он никем не используется, и даже при этом уязвимости уже находили.Пока он не применяется повсеместно, я тоже где можно его отключаю даже в кикстарте сервера еще при установке, в любых сервисах где это возможно, на всякий случай.
Когда начнет применятся повсеместно, и когда с десяток страшных ремотных дырок, имхо, его можно будет начинать использовать :)
Ну все правильно, кому то ип6 нафиг не нужен, ибо некуда маршрутизировать - исп не все его поддерживают.
>Ну все правильно, кому то ип6 нафиг не нужен, ибо некуда маршрутизировать
>- исп не все его поддерживают.Мой ISP его тоже не поддерживает, и что дальше?) Будто без этого нельзя получить IPv6. :) Дабы не заподозрили что пиарю _свой_ сайт, дам ссылку на ту же самую инфу на стороннем ресурсе: http://habrahabr.ru/blogs/p2p/53625/
>Поддержка следования HTTP-заголовку X-Forwarded-ForНе понял. Он же по дефолту не анонимный.
Что вообще значит - "Поддержка следования HTTP-заголовку X-Forwarded-For" ?? Поясните, пожалуйста, кто знает ?
>Что вообще значит - "Поддержка следования HTTP-заголовку X-Forwarded-For" ?? Поясните, пожалуйста, кто
>знает ?Показывает веб серверу не ип прокси, а ип адресс клиента. Грубо говоря такое поле куда пишется реальный ипишник клиента подключившегося к прокси, актуально когда у клиентов белые ип и их много.
>>Что вообще значит - "Поддержка следования HTTP-заголовку X-Forwarded-For" ?? Поясните, пожалуйста, кто
>>знает ?
>
>Показывает веб серверу не ип прокси, а ип адресс клиента. Грубо говоря
>такое поле куда пишется реальный ипишник клиента подключившегося к прокси, актуально
>когда у клиентов белые ип и их много.Я понимаю для чего веб-серверу этот заголовок.
Но что значит "поддержка следования" и каким образом это поле используется в _прокси_ сервере ?
squid может изменять этот заголовок и если я правильно понял, теперь он может туда прописывать свой ip вместо клиентского
>теперь он может туда прописывать свой ip вместо клиентскогоВсегда умел. Не то...
>Что вообще значит - "Поддержка следования HTTP-заголовку X-Forwarded-For"В ReleaseNotes-ах по ссылке написано же. Про опцию follow_x_forwarded_for. Которую "творчески" перевели на родной и могучий. Ничего сногсшибательного -- чего-то там в носу, в ACL-ях то есть.
как же много вкусностей )))
а для деба-убунты пакетики где раздают?
"cache_dir null ..." не поддерживается
если имеете ввиду отключения кеша то можно использоватьcache deny all
Но ведь это просто запрет кэширования, а не отказ от хранилища на диске, не?
в squid 3.0 у меня написано так:no_cache deny all
cache_dir null /tmpа в squid 3.1 (cache_dir null /tmp не будет работать). как отказаться от хранилища для кэша?
'null' storage type dropped. In-memory cache is always present. Remove all cache_dir options to prevent on-disk caching.
>Реализация фильтров для SSL-трафикаДожили, млин. Ругани же будет в браузерах...
Интересно, а можно сквид заставить "на лету" делать сертификаты с правильным Subject'ом? Правда все-равно придется на клиентские машины ставить сертификат ЦС, но это решаемо.
ЗЫ: TLS-ная аутентификация клиента спасет человечество.
>Поддержка транзитной NTLM-аутентификации, может применяться для проксированных >соединений к серверу с использованием Microsoft Integrated Login;может кто подскажет что бы это могло значить ?
настройка NTLM аутентификации на сервере с squid 3.1 будет проще ?
Это офигенная штука. Наконец-то будет нормально коннектиться к IIS.