После двух лет разработки представлена (http://www.squid-cache.org/mail-archive/squid-users/201208/0...) новая стабильная ветка прокси-сервера Squid 3.2, которая по заявлению разработчиков достигла состояния готовности для промышленного использования. Прошлая стабильная ветка 3.1.x объявлена неподдерживаемой, кроме выпущенного 8 июня релиза 3.1.10 больше обновлений выпускаться не будет. В настоящий момент усилия разработчиков направлены на развитие ветки Squid 3.3, в ветке 3.2.x отныне будут производиться только исправления уязвимостей и проблем со стабильностью, также допускается внесение небольших оптимизаций. Одновременно объявлено и о прекращении поддержки ветки Squid 2.7.x, последней в серии 2.x. Всем пользователям Squid 2.7.x и 3.1.x рекомендуется спланировать переход на ветку 3.2.x.
Основные новшества Squid 3.2:- Поддержка одновременного запуска нескольких рабочих процессов Squid, что позволяет в полной мере задействовать ресурсы многоядерных систем. По умолчанию нагрузка при обработке запросов распределяется между всеми рабочими процессами, т.е. работа такой системы выглядит как единое целое, в том числе ведётся единый лог и используется общий кэш. Дополнительно предусмотрены средства для тонкой настройки поведения каждого процесса в отдельности. Управление производится через новую директиву "workers" в squid.conf;
- Добавление средств для ограничения пропускной способности для трафика между проки и клиентом. Ограничения могут задаваться для индивидуальных пользователей на основании IP-адресов и подсетей. Конфигурация пулов ограничений трафика на стороне клиентов выполняется по аналогиями с ранее доступными пулами на стороне сервера. Для настройки добавлены директивы client_delay_pools, client_delay_initial_bucket_level, client_delay_parameters и client_delay_access;- Новый хелпер Multiplexer, позволяющий мультиплексировать запросы к медленным хелперам. Multiplexer выступает в роли промежуточного звена между Squid и хелперами, и позволяет организовать обращение к хелперам в параллельном режиме, минимизировав таким образом задержки из-за ожидания своей очереди при последовательной отправке запросов к медленным хелперам;
- Поддержка запуска хелперов по необходимости. Если ранее число запускаемых хелперов жёстко определялось в конфигурации, теперь возможен адаптивный запуск только нужного числа хелперов, в зависимости от нагрузки. В конфигурации теперь можно задать число изначально запускаемых хелперов, максимальное число хелперов и таймаут неактивности, после которого экземпляр хелпера будет завершён;
- Произведено переименование большинства хелперов с целью унификации имён хелперов, более ясного определения выполняемых задач и явного различия поставляемых в составе Squid и внешних хелперов. Например, ncsa_auth переименован в basic_ncsa_auth, squid_radius_auth в basic_radius_auth, digest_pw_auth в digest_file_auth, squid_ldap_group в ext_ldap_group_acl, ntlm_auth в ntlm_smb_lm_auth и т.п. (http://www.squid-cache.org/Versions/v3/3.2/RELEASENOTES.html...)
- Для Solaris 10 обеспечена поддержка и автоматическое определение многопоточной библиотеки pthreads. При использовании pthreads в Solaris 10 наблюдается заметное ускорение работы в кэшем AUFS;
- Поддержка расширений протокола HTTP - Surrogate/1.0, позволяющих сайтам через установку HTTP-заголовков Surrogate-Capabilities, Security Considerations и Surrogate-Control явно управлять кэшированием страниц при использовании Squid в роли reverse-прокси;
- Обновление инфраструктуры ведения логов, добавление возможности использования дополнительных модулей (http://wiki.squid-cache.org/Features/LogModules) для хранения лога. Модули позволяют обеспечить хранение логов как в локальной ФС, так и на внешних лог-серверах. Кроме того, модули можно использовать для подключения своих обработчиков, разбирающих логи в режиме реального времени;- Улучшенная поддержка eCAP. В состав включена библиотека libecap 0.2.0 в которой расширены возможности по обработке тела ответа и ведения логов;
- Расширение способов доступа к Squid Cache Manager. В дополнение к схеме cache_object:// запросы теперь можно отправлять из обычного браузера с использованием схем http:// и https:// в сочетании с заданием пути /squid-internal-mgr/, без необходимости использования промежуточного скрипта cachemgr.cgi;
- Добавлена защита от атак (http://www.squid-cache.org/Advisories/SQUID-2011_1.txt) по обходу ограничений same-origin, реализуемых при работе в режиме прозрачного прокси или NAT-перехвата (squid при запросе подменяет оригинальный IP, что может быть использовано для загрузки внешнего flash-кода или java-апплетов в контексте чужого домена). Для защиты реализованы дополнительные средства проверки параметров заголовка Host, активируемые через директиву host_verify_strict (http://www.squid-cache.org/Doc/config/host_verify_strict/), которая включает режим строгой проверки соответствия имени хоста, указанного через Host, и доменного имени;- Устранены ограничения (http://www.squid-cache.org/Advisories/SQUID-2011_2.txt) на длину пароля в реализации алгоритма хэширования DES (ранее учитывались только первые 8 символов), используемого в NCSA-хелпере аутентификации.
URL: http://www.squid-cache.org/mail-archive/squid-users/201208/0...
Новость: http://www.opennet.me/opennews/art.shtml?num=34686
Интересно, много народу этим ещё пользуется? Кругом же динамика... Разве что исключительно как фильтр
> Кругом же динамика...Довольно относительно. Т.к. динамически сформированные страницы включают вполне статические картинки, стили и скрипты.
Динамика не отменяет необходимости фильтрации контента и разграничения доступа в соответствии с корпоративными требованиями. И вообще это о другом.
Пальцем в небо. Эра динамики была в 2000 -ые когда царствовал PHP со товарищи. тогда да весь хтмл, а иногда и css и javascript генерировался на сервере и кешировать его было бесполезно. Сейчас в моде AJAX который с точки зрения прокси, представляет собой постоянный набор полностью статических страниц скриптов и стилей. Которые кешируются на ура. Не кешируются только данные, но они обычно в json, который намного худее чем полная страница собранная PHP.
Проблема кеширующих прокси в том, что современные браузеры сами по себе высокоинтелектуальные кеширующие прокси.
пффф…> Пальцем в небо
попой в лужу, блин
> тогда да весь хтмл, а иногда и css и javascript генерировался на сервере и кешировать его было бесполезно.
orly? правильно настроеной проксе глубоко наплевать, был ли HTML сгенерирован или взят из отдельного файла. Для прокси есть только URL и соответствующие ему данные, актуальность которых определяется заголовками. Откройте уже для себя HTTP RFC и не говорите больше таких глупостей.
> Эра динамики была в 2000
ох тыж нифигажсебе, как пафосно
> Сейчас в моде AJAX который с точки зрения прокси, представляет собой постоянный набор полностью статических страниц скриптов и стилей. Которые кешируются на ура.
и которых, к слову стало раз в сто больше (пару мегабайт JS-кода на небольшую страничку — нормально, чо).
> Сейчас в моде AJAX который с точки зрения прокси, представляет собой постоянный набор полностью статических страниц скриптов и стилей.
AJAX — это метод отправки асинхронных запросов из JS. Какой нафиг набор скриптов и стилей?
> Не кешируются только данные, но они обычно в json, который намного худее
Вот с чего вы это взяли?! Где блин статистика, объективные сравнения? Каждый второй JS-ужаленный повторяет эту фразу как мантру. Откройте любой сайт и посмотрите, какую реально часть от общего объема данных (включая CSS, картинки и прочую статику) занимает разметка (и/или JSON в случае AJAX-запросов). На чем вы там сэкономить хотите?
Хотя может вы там HD-видео в JSON кодируете?
> Проблема кеширующих прокси в том, что современные браузеры сами по себе высокоинтелектуальные кеширующие прокси.
проблема современных анонимусов… это современные анонимусы
Да не волнуйтесь вы так.
> AJAX — это метод отправки асинхронных запросов из JSХотя бы википедию почитай чтоли.
Скужу проще вы не правы. И пора бы подтянутся по матчасти.Сам очень не люблю мегабайты js кода и стараюсь делать проще. Но современные реалии таковы, что сервера раздают статику и данные в "чистом" виде (напимир json). А страница собирается на стороне клиента. Во всяком случае те 5% сайтов инета которыми реально пользуются так и делают :-)
>> тогда да весь хтмл, а иногда и css и javascript генерировался на сервере и кешировать его было бесполезно.
> orly? правильно настроеной проксе глубоко наплевать, был ли HTML сгенерирован или взят
> из отдельного файла. Для прокси есть только URL и соответствующие ему
> данные, актуальность которых определяется заголовками.out-of-box squid настроен так, что не кеширует урлы, если в них есть "?".
И это правильная настройка.
Иначе будет кешироваться то, что кешироваться не должно.
А раньше (в 2000-е) подавляющее большинство динамики имела урлы вида *.php?*.
И, соответственно, пролетало мимо кеша.
Это сейчас ЧПУ и адреса вида http://site/article/1/sortedХотя, если посмотреть на то, как ставят http заголовки ответа...
Имхо, проще забыть про кеширование (браузеры с этим и так хорошо справляются), и использовать squid для фильтрации контента и ограничения доступа.
Ну я рассуждаю примерно так. Современный сайт - это либо хрень на десяток страничек, которую кэшировать профита нет из-за малого размера (как большиснтво копоративных) либо монстр - статика с нормально отданными заголовками (то есть оно будет кэшироваться браузером до упора) + персонализированный контент, летающий как раз в том самом JSON - там кэшировать нечего. Ровно по этой причине и няшных котиков кэшировать не выйдет - разным пользователям летят разные котики. Видео - флеш в большинстве, там оно потоком летит и вряд ли кэшируется...
Писк современной моды - собрать всю статику, включая картинки в один файл html минимизатором, все остальное в json. По вкусу добавить offline manifest.
Мне нравится.
Ну да. Но по сравнению с динамикой (теми же котиками) - это ж слёзы и кешируется браузером на месяцы
Как бы страницы с картинками в data: урлах уже не слезы.
Да любая статика - слёзы по сравнению с какой-нибудь лентой вконтакта просматриваемой за 10 минут. Потому что там десятки если не сотни мегабайт.
>Разве что исключительно как фильтрКак фильтр он как бе не очень.
Кто считает по другому - простейшая задача:
заблокировать с помощью squid сайт вконтакте.
а что сложного?
http://obhodilka.ru/
и еще приблизительно 10 000 веб проксей.
> http://obhodilka.ru/
> и еще приблизительно 10 000 веб проксей.http://dansguardian.org/ Ну и ещё 10к вариантов фильтрации по контенту(!) а не по url.
Медленный, нет хороших правил по русским сайтам, много ложных срабатываний.
то есть написание и отладка правил целиком ложится на администратора.
Тогда уж лучше использовать opendnns/skydns, но там свои проблемы.
Эх. что поделать, нужно сообщество.Можно вот еще правила с privoxy дернуть, либо его дочерним прокси поставить. но уж больно он тормознут.
ах это, у меня с этим проще.
эти сайты (вконтакте и прочие) закрываются в целях повышения дисциплины, а это уже не мой огород, я со своей стороны сделал достаточные ограничения, чтобы пользователь по случайности не нарушил запрет и проинформировал пользователей.
время от времени по запросу начальников берутся логи определённых пользователей и просматриваются, если замечаю "риминал" заношу в блэклист и ставлю начальство в известность о факте нарушения правил трудового распорядка, а у начальников есть более действенные способы отвадить сотрудника от посещения вконтактов на работе, например увольнение сотрудника.
Это больше похоже на имитацию работы.
Работать не на результат, а так что бы к тебе не могли придраться, в случае чего, мне лично - противно.
> Это больше похоже на имитацию работы.А вы считаете, что заботиться о соблюдении трудовой дисциплины, моральном облике сотрудников и т. п. должно входить в обязанности админов? Или админы должны этим заниматься по собственной инициативе?
Как-то работал я в одной не очень большой фирме и был там админ, который был уверен, что лучше остальных знает, что им в интернетах нужно, а что нет (по собственной инициативе, не по приказу). А в этих интернетах, например, производители микросхем, размещая описания на целое семейство чипов частенько заменяют переменную часть названия иксами (например, AT25DFxxx) и в таком виде оно иногда и фигурирует внутри url. Естественно это попадает под правило: блокировать 'xxx'. Чтоб не терять времени на разговоры, пишу (на полном серьёзе) служебную записку на имя генерального, что в связи с невозможностью, фильтрацией и т. д. с одной стороны и повышенной срочностью поставленных задач и т. п. с другой стороны, прошу предоставить мне материалы оттуда-то и оттуда-то (не стеснялся указывать довольно большие куски сайтов) в срок не позднее... (немного я времени админам оставил на такую "важную" задачу). Подписал у кого надо, зарегистрировал - все процедуры соблюл, в общем. Админы повозмущались, генеральный понедоумевал, коллеги поржали. Админы там были не дураки и быстро смекнули к чему всё это идёт. Больше таких записок писать не пришлось ни мне ни моим коллегам.
и я ещё раз повторю, трудовая дисциплина это не моё дело, а ограничения на посещение вконтактов введены моим начальством для повышения трудовой дисциплины сотрудников.
если бы эти ограничения вводились для обеспечения безопасности сети от всяческой вирусни или слива информации или для ограничения трафика, тогда другой разговор.
> http://obhodilka.ru/
> и еще приблизительно 10 000 веб проксей.Фильтр по контенту: "ВКонтакте © 2006-2012".
Вперед, подбирать прокси.
Заблокированы и вконтакте, и одноклассники, и многое другое.В организациях с жесткими требованиями к персоналу и способных обеспечить выполнение этим мер фильтация и вовсе идёт на основе белых списков, а не чёрных.
> Заблокированы и вконтакте, и одноклассники, и многое другое.Это вы так думаете. Спорю на пиво что это не так?
> В организациях с жесткими требованиями к персоналу и способных обеспечить выполнение этим
> мер фильтация и вовсе идёт на основе белых списков, а не
> чёрных.Если у вас в списках есть google(.*),microsoft.com или почти любой сайт на основе wordpress считайте что у вас открыт доступ ко всему интернету.
...а еще у нас есть админ, ежедневно мониторящий трафик, и выписывающий живительных всем, кто считает себя умнее руководства.
Админ ежедневно мониторящий трафик - просто вершина автоматизации.
Спасибо, я обошелся самодельным расширением для chrome, и доменными политиками для него же.
Кстати, у него(chrome) есть политика и для линукса ... в некотором смысле.
Просто я к тому что надеятся только на squid в плане контроля доступа - бессмысленно.
>Спасибо, я обошелся самодельным расширением для chrome, и доменными политиками для него же.Вот как раз это наивно.
Работает.
Судя по звериным рожам агентов и менеджеров - хорошо работает.
Я им открою FireFox Pоrtable - его даже устанавливать не надо. После этого будут демонстративно и с особым цЫнизмом смотреть порнуху. С тобой в главной роли :))))
Запуск сторонних бинарников в линуксе и офтопике блокируется.
А как насчёт ssh тунелю по 443 порту?
> Админ ежедневно мониторящий трафик - просто вершина автоматизации.А без человека так или иначе не обходится, уж извините. Можно, конечно, до известной степени его заменить, нарисовав некую экспретную систему, которая возьмет на себя часть работы, но эту систему еще нужно будет обучить, а это уже работа за отдельную зарплату. Так что лучше потратить час в день на изучение отчётов, чем заниматься автоматизацией исключительно ради автоматизации.
> ...а еще у нас есть админ, ежедневно мониторящий трафик, и выписывающий живительных
> всем, кто считает себя умнее руководства.толку если есть прокси с урлами тапа fastbuh.ru ?
А есть и https прокси - что вы там увидите в логах?
>> ...а еще у нас есть админ, ежедневно мониторящий трафик, и выписывающий живительных
>> всем, кто считает себя умнее руководства.
> толку если есть прокси с урлами тапа fastbuh.ru ?
> А есть и https прокси - что вы там увидите в логах?А эти прокси религия не позволяет забанить?
Все? Включаю ту сотню которая появится завтра?
Предсказывать будущее не умею.
> Все? Включаю ту сотню которая появится завтра?
> Предсказывать будущее не умею.Мониторить трафик, видимо, тоже.
Тем более, что хомячкам очень быстро надоедает кликать по ссылкам в гугле и натыкаться на забаненные анонимайзеры.
> Мониторить трафик, видимо, тоже.толку если есть прокси с урлами тапа fastbuh.ru ?
А есть и https прокси - что вы там увидите в логах?
(Второй круг. Говорят даже макаки понимают команды с четвертого раза, проверим)
Увижу в логах адрес прокси, и забаню его без разговоров. Ибо такова политика компании: все непонятное подлежит блокировке, особенно, если с этого непонятного качают гигабайтами. Надо по работе будет - пиши письмо на имя зама генерального с объяснением, для чего и зачем.
Если сразу не поняли, что "прокси с урлами" тоже можно забанить - что ж, вам и пяти раз не хватит...
> ...а еще у нас есть админ, ежедневно мониторящий трафик, и выписывающий живительных
> всем, кто считает себя умнее руководства.У вас админом генеральный подрабатывает? Каким образом админ (админ! не руководство!) может кому-то чего-то "выписать"? У нас, например, максимум что может сделать админ в такой ситуации - предупредить, что нехорошо и он будет вынужден доложить руководству, ну или просто доложить без предупреждения. При попытке что-либо "выписать" самостоятельно будет просто послан (мягко или грубо, в зависимости от того кому и как именно будет пытаться), а при попытке "мелко пакостить" (например, включать дополнительные фильтры, вводить/уменьшать квоты втихаря и т. п.) еще и "по шее" получит от того же руководства за самоуправство.
> У вас админом генеральный подрабатывает? Каким образом админ (админ! не руководство!) можетНе во всякой конторе админ == говно...
> и т. п.) еще и "по шее" получит от того же
> руководства за самоуправство.А вы точно уверены, что действия админа являются "самоуправством", а не подкреплены соответствующими инструкциями и распоряжениями за подпиьсю лиц соответствующего ранга?
squd.conf -> acl denyURLs url_regex "........./blocksites"
http_access allow название_группы !denyURLsecho "vk.com/*" > путь_до_/blocksites
Наивный.
google админ закрыл доступ вконтакт что делать - 100500 способой обхода, включая доставку internet через email.
... и все эти 100500 способов обхода так или иначе попадают в банлисты.
Помнится, прошелся по первым десяти страницам результатов поиска яндекса и гугла с запросам "анонимайзер вконтакте", и все найденные анонимайзеры добавли в банлист. Полдня тогда посидел, теперь сижу, курю... изредка особо упоротый новичок находит какой-нибудь новый обходной путь, и остаётся без премии, а у меня пополняется черный список.
легко: Access control
и еще с десяток сайтов как по доменному имени, так и по адресу
А у сайта десяток другой адресов, пяток зеркал и доменов, включая мобильные,плюс сотни онлайн переводчиков,которые можно использовать как анонимайзеры, и веб проксей сотни тысяч. Все будешь добавлять?
>> А у сайта десяток другой адресов, пяток зеркал и доменов, включая мобильные,плюс сотни >онлайн переводчиков,которые можно использовать как анонимайзеры, и веб проксей сотни >тысяч. Все будешь добавлять?Вы плохо изучили фильтрацию SQUID можно банить сайты по контенту, так же легко закрываеться по встречающемся символам в URL
> Вы плохо изучили фильтрацию SQUID можно банить сайты по контенту, так же
> легко закрываеться по встречающемся символам в URL
>SQUID можно банить сайты по контентуНу ну. Забаньте мне все сайты которые создают глобальную переменную window.vklogin
Не те текст которых содержит строку "vklogin" - слишком много ложных срабатываний, а те которые эту переменную создают любым способом.
>легко закрываеться по встречающемся символам в URLАга, забань комбинацию ^.*vk.com.*$ и лишись работы.
> Ага, забань комбинацию ^.*vk.com.*$ и лишись работы.А про то, что можно создать "белый" список и добавить туда то, что нужно, вы, видимо, тоже не в курсе?
Да мы уже давно поняли что у тебя все сайты интернета рассортированы в белый и чОрный списки, и ты каждый день актуализируешь их.
Ты крут а мы сынки! Чо там .... :)))
> Ты крут а мы сынки! Чо там .... :)))То-то же.
Вольно, товарищи. Можете кушать.
> А про то, что можно создать "белый" список и добавить туда то,
> что нужно, вы, видимо, тоже не в курсе?А что, в общем случае, возможно заранее определить всё что может потребоваться впредь?
>> А про то, что можно создать "белый" список и добавить туда то,
>> что нужно, вы, видимо, тоже не в курсе?
> А что, в общем случае, возможно заранее определить всё что может потребоваться
> впредь?А что, в общем случае нельзя регламентировать порядок действий на такие случаи?
> А у сайта десяток другой адресов, пяток зеркал и доменов, включая мобильные,плюс
> сотни онлайн переводчиков,которые можно использовать как анонимайзеры, и веб проксей сотни
> тысяч. Все будешь добавлять?Можно ныть, что "все не забанишь", а можно банить, и добиваться нужных результатов. Все зависит от корпоративной политики. Ваша политика, видимо, сводится к пофигизму по отношению к работе, но меня это не касается.
Не волнуйтесь. Все хорошо.
Подобную проблему я уже решил, правда без помощи squid.
Я все это к тому, что можно "банить банить и банить", можно вручную просматривать трафик часами в поисках крамолы, а можно пять минут подумать и добиться результатов не хуже, главное использовать нужный инструмент.
А не как обычно - я умею копать, имею сертификат профессионального землекопа, поэтому забор я буду красить ЛОПАТОЙ.
Надо уже побороть устойчивый стереотип: "Сис. Админ это водопроводчик от IT"
Удачи.
ну, из моего опыта - если дело доходит до фильтров - что-то сильно не так в управлении персоналом - либо людей пытаются заставить пахать 8 часов в день (что нереально), либо платят мало и работает народ соответственно, либо зарплата и резальтаты работы никак не связаны... И там такие чудеса изобретательности проявляются, что помогает только видеонаблюдение + злобные штрафы. Только смысла в этом никакого.
Вы это понимаете и я это понимаю. Но директора, у которых работники целыми днями таскают морковь с фермы этого не понимают. И они тоже правы.
Это да, кто платит - тот заказывает музыку. Вот в том числе поэтому я из админов и ушел.
> Это да, кто платит - тот заказывает музыку. Вот в том числе поэтому я из админов и ушел.Ух ты! Так ты теперь бизнесвумен? Ну и как дошло уже что и у них - та же фигня?
Зачем? Программизм оказался много веселее, чем дела админские. А бизнесмен из меня никудышный, увы..
А оно подерживает squid.conf от предыдущих версий?
В лучшем случае частично. Как минимум, хелперы переименовали.
на доступ к manager ругается и ещё на пару опция. А так, вроде нормально. Поправили баг с паралельными запросами авторизации в Active Directory.
>Добавление средств для ограничения пропускной способности для трафика между проки и клиентом.Я, наверное, многого не понимаю, но зачем это делать прокси-серверу? Разве нет какого-нибудь более традиционного способа это сделать? Первым на ум приходит RADIUS почему-то...
Потому как клиентом сквида не обязательно является менеджер Василий Пупкин. Клиентом может быть:
- другой сквид
- веб сервер
- сервер приложений
- много всякого интересного...
>>Добавление средств для ограничения пропускной способности для трафика между проки и клиентом.
> Я, наверное, многого не понимаю, но зачем это делать прокси-серверу? Разве нет
> какого-нибудь более традиционного способа это сделать? Первым на ум приходит RADIUS
> почему-то...а зачем огород городить если можно легко и не принужденно это сделать в SQUIDe
А в чем проблема заблокировать vk?
http://raders.ru/2
http://knigolab.ru/2
http://arendadorogo.ru/2
http://zerfod.ru/2
http://dorss.ru/3
http://samnesmogu.ru/2
http://fastbuh.ru/2
http://ideanarium.ru/2
...
Ой, спасибо. Работает )))
> http://raders.ru/2
> http://knigolab.ru/2
> http://arendadorogo.ru/2
> http://zerfod.ru/2
> http://dorss.ru/3
> http://samnesmogu.ru/2
> http://fastbuh.ru/2
> http://ideanarium.ru/2
> ...Как 2 пальца об асвальт! Покупайте SWG коммерческий, кстате в основном внутри будет тот же squid стоять + сервис от вендора с обновляемыми блек-листами. Кстате найти в инете блек-листы нормальные открытые и прикрутить к squid с автоматизированным обновлением - проще простого. И тогда ни vk.com ни его клоны, ни открытые прокси не будут доступны из вашей сети.
В том что если людям чего-то (особенно развлечений) очень хочется - они пути найдут. И резко учатся и прокси применять, и левый софт запускать, и устройства свои тыкать в в обход всех мыслимых ограничений, и свои 3G-модемы с точками доступа или телефоны совать... В общем, нет предела извращениям. Причём всё это давно и хорошо описано в сети и тривиально находится гуглом. Лечится это исключительно видеонаблюдением и совершенно механической системой штрафов. По принципу "попался - галку в софтине поставили со скриншотом - 5 % зарплаты забрали".
То что, теоретически, можно ограбить любой банк - еще не повод не ставить решетки на окна и стальную дверь.
Чем больше преград будет на пути тем меньше дойдут до финиша. А уж тех кто дошел, тех уже можно и "наградить" за старания.
Именно так и надо делать, squid тут только для отсекания блондинок :)
А еще полная поддержка HTTP/1.1
Я использую прокси-сервер 3proxy 0.6.1 http://3proxy.ru
Мне в нём нравиться 2 вещи
1 Мгновенная (макс 3 сек) реакция на изменения конфига БЕЗ перезагрузки демона.
2 Возможность править конфиг через встроенный вэб-интерфейс с пунктом 1.
Ну и так же довольно лёгкие и удобные правила и возможности конфига.Кто нибудь сталкивался с обоими прокси-серверами и может сказать что нибудь о них и сравнить?
Под линуксом - не идет ни в какое сравнение, кривой, глючный, теряет соединения, течет память.
Под виндоусом - нормальный прокси, в отсутствие лучших бесплатных альтернатив.
Ой, а автор то не знает бедный и пишет и пишет
В общем бездоказательный бред. Также использую только 3proxy.
squid -k reconfigure
как бы тоже без перезагрузки )))
> squid -k reconfigure
> как бы тоже без перезагрузки )))Буду иметь в виду :)
> squid -k reconfigureИ Ваши delay pool-ы певращаются, певращаются delay pool-ы...
> как бы тоже без перезагрузки )))
Как бы в шорты.
по сути сквид (как решение, он может и не знать что именно им это сделано) сейчас нужен только безумцам грезящим о китайском фаерволле, а админам это только бездарно потраченные человеко-часы.
Простые аргументы:
-браузеры и так кешируют;
-роутеры сами могут рулить скоростью;
-интернет безлимитный и высокоскоростной;
-соцсети сами собой снизили нагрузку на интернет - теперь все сидят на одном и том же сайте;
-есть куча протоколов обменов данных, которые через жопу работают с проксей;
-нет необходимости иметь сервер в организации (часть задач решают роутеры, часть на внешке - к примеру pdd.yandex.ru)
И все это экономит приличные денежки :)
Интересно, как ваши роутеры справятся с входящим инфецированным трафиком? Или например предотвратят утечку информации?
За полгода, как построена сеть - ни одной инфекции и ни одной утечки. Я что-то делаю не так?
> За полгода, как построена сеть - ни одной инфекции и ни одной
> утечки. Я что-то делаю не так?Да, работаешь всего пол-года
Я видел ползающего кролика. Все кролики ползают! Такая вот женская логика у тебя мил человек.
я например вообще никогда не использую антивирус и все ОК. вирусы в основном на зарубежных варезниках и порнушках. я когда хочу порнушку поглядеть простов браузере ява скрипты отключаю. раньше я еще вирусы подхватывал через флэшку, но я уже давно использую флэшки с loock
> я например вообще никогда не использую антивирус и все ОК. вирусы в
> основном на зарубежных варезниках и порнушках. я когда хочу порнушку поглядеть
> простов браузере ява скрипты отключаю. раньше я еще вирусы подхватывал через
> флэшку, но я уже давно использую флэшки с loockА я, как и большинство читателей opennet-а, используем просто нормальную ось.
И при условии корректного распределения прав, как бы никаких вирусов нет и в помине, особенно через браузер.
утечку информации можно предотвратить? серьёзно? можно пример?вот есть Вася. Вася знает (имеет доступ) к неким данным (НД). Есть Петя, Вася хочет передать Пете НД. Чо будете делать проксёй?
> а админам это только бездарно потраченные человеко-часы.Ну-ну...
> Простые аргументы:
> -браузеры и так кешируют;И дай бог им здоровья.
> -роутеры сами могут рулить скоростью;
И фильтровать контент тоже, если вдруг вы не в курсе. Вопрос в гибкости и управляемости.
> -интернет безлимитный и высокоскоростной;
Вот прям везде и для всех? Юрлицам обычно предлагают значительно более медленные каналы за значительно бОльшие деньги.
> -соцсети сами собой снизили нагрузку на интернет - теперь все сидят на
> одном и том же сайте;... вместо того чтобы работать?
> -есть куча протоколов обменов данных, которые через жопу работают с проксей;
Squid заявлен как HTTP прокси. При чем тут куча протоколов?
> -нет необходимости иметь сервер в организации (часть задач решают роутеры, часть на
> внешке - к примеру pdd.yandex.ru)
> И все это экономит приличные денежки :)два последних пункта улыбнули :)
Вы хотя бы на минуту представьте, что управляете сетью, число машин в которой на два порядка превышает 20-30...
:)
>> И фильтровать контент тоже, если вдруг вы не в курсе. Вопрос вгибкости и управляемости.
в курсе, в курсе - перечислять, что умеют современные роутеры - сайт треснет>> Вот прям везде и для всех? Юрлицам обычно предлагают значительно более медленные
каналы за значительно бОльшие деньги.
в Красноярске везде и для всех - мне этого достаточно>> ... вместо того чтобы работать?
вообще-то в некоторых конторах уже обязуют работников создавать активность в соцсетях - поддерживать имидж конторы. Соцсети - это часть бизнеса.
>> Squid заявлен как HTTP прокси. При чем тут куча протоколов?
при том, что если их пускать мимо сквида, то о каком разграничении прав можно вести речь?
>> Вы хотя бы на минуту представьте, что управляете сетью, число машин в которой на два порядка превышает 20-30...
Вообще-то управляю. Описанный мной случай и правда на 60 машин, но есть у меня сеть и на 200 машин (но там сквид был запущен, когда интернет был помегабайтный)
>>> И фильтровать контент тоже, если вдруг вы не в курсе. Вопрос в
>>> гибкости и управляемости.
> в курсе, в курсе - перечислять, что умеют современные роутеры - сайт
> треснетСудя по вашей сетки из 200 машин, раньше треснет ваш d-link или что-то того же класса...
> в Красноярске везде и для всех - мне этого достаточно
Угу, понятно, дальше своего носа не видим.
> вообще-то в некоторых конторах уже обязуют работников создавать активность в соцсетях -
> поддерживать имидж конторы. Соцсети - это часть бизнеса.Не смешите мои тапочки.
>>> Squid заявлен как HTTP прокси. При чем тут куча протоколов?
> при том, что если их пускать мимо сквида, то о каком разграничении
> прав можно вести речь?Можно, можно. man ipfw, man pf, man...
>>> Вы хотя бы на минуту представьте, что управляете сетью, число машин в которой на два порядка превышает 20-30...
> Вообще-то управляю. Описанный мной случай и правда на 60 машин, но есть
> у меня сеть и на 200 машин (но там сквид былНу а у нас сеть на 2500 машин (приблизительно)
Дальше будем пиписьками меряться? :)
>> Судя по вашей сетки из 200 машин, раньше треснет ваш d-link илипальцем в небо определили железо? allied telesyn, или тоже не?
>> Угу, понятно, дальше своего носа не видим.конечно, я должен был сразу предусмотреть безайпишные фаерволлы, систему резервного энергоснабжения на суток трое и послать в космос радиосигнал...
>> Не смешите мои тапочки.аргументы кончились?
>> Можно, можно. man ipfw, man pf, man...
ага, сквидо-леса нам мало, продолжаем городить
>> Ну а у нас сеть на 2500 машин (приблизительно)Дальше будем пиписьками меряться? :)
У нас? У нас тоже окола 2000 машин, но я лично отвечаю за 200. Умничай меньше, железа современного пробуй больше.
Аргументы, по ходу, кончились у вас:>> но есть у меня сеть и на 200 машин
> У нас? У нас тоже окола 2000 машин,...то 60 машин, то 200, то 200 превращаются в 2000...
> но я лично отвечаю за 200.
а если я скажу, что я лично отвечаю за 400, :) - как будете выкручиваться?
>> ...то 60 машин, то 200, то 200 превращаются в 2000...Читать учитесь. 200 в одной конторе, 60 в другой. В конторе где 200, общий парк машин 2000.
>> а если я скажу, что я лично отвечаю за 400, :) - как будете выкручиваться?
если вы начали завираться, то мне что с этого? Или вы хотите знать все конторы, которые я обслуживаю, у которых тоже есть n-количество компов?
О, теперь число обслуживаемых вами компов уже равняется N... и продолжает расти...
Мертвое море тоже вы убили?
>> О, теперь число обслуживаемых вами компов уже равняется N... и продолжает расти...Мертвое море тоже вы убили?"И тут Остапа понесло.."
А чё спорите-то? Все эти фконтактики с однотрахниками для "блондинок". Причём термин "блондинка" подразумевается более широко - человек с невысокми интеллектуальными способностями. Так вот "блондинки" и "обходить ограничения админов" понятия не совместимые. Так что запретив фкантакты даже самым примитивным способом, ограничиваем доступ с вероятностью 90%.
> А чё спорите-то? Все эти фконтактики с однотрахниками для "блондинок". Причём термин
> "блондинка" подразумевается более широко - человек с невысокми интеллектуальными
> способностями.
> Так вот "блондинки" и "обходить ограничения админов" понятия не совместимые. Так
> что запретив фкантакты даже самым примитивным способом, ограничиваем доступ с
> вероятностью
> 90%.мало того что ты мыслишь стереотипами, которые присуще людям с невысокими интеллектуальными способностями, приравнивая "пользователь вконтакте" = "блондинка" так ты ещё и не рассматриваешь банальных вариантов, когда условная "блондинка" для обхода ограничений обращается за помощью к специалистам и тогда мало того что твоё ограничение обойдут, так ты ещё и прослывёшь дилетантом и неучем, что может потом отразится и на твоей зп и в принципе на месте твоей работы
Чтобы убежать от медведя, нужно бежать не быстрее медведя, а быстрее своего коллеги. Закрой первые топ 30 из заеркал вконтакта. А дальше - бог в помощь, ищите, бейтесь, профукивайте акки на поддельных зеркалах. Однако как траффик на определенный сайт будет выбиваться за среднюю температуру по больнице - он снова уйдет в блоклист. И так далее, ищите, теряйте...
однако блондинко нравятся одминкам. или я не прав?Как одминко понравится блондинко если одминко закрыл блондинко доступ на блондинкосайт?
Или здесь большинство одминко евнухи и не увлекались служебными романами?
Так некорорым же брюнетки нравяццо.
И ваще, есть хорошая русская пословица: "Не е...сь где живёшь и не живи, где е...шся". Это к работе в первую очередь относиццо.
Искал в новости пункты:
- добавлена возможность вводить квоты объема трафика на каждого пользователя: по дням, понедельно, помесячно, произвольный интервал
- добавлен модуль сквид-апач для администрирования и просмотра статистики...но не нашел.
Пользуемся. А что делать, если с интернетом более 50-ти человек, а канал в общей сложности 2.5 мбита, а в двух других конторах и того хуже? При этом невозможно блокировать социальные сети. Еле как добился разрешения блокировать музыку и видео, по этому без сквида никуда.
Отличная штука. Спасибо авторам.