Представлена (http://marc.info/?l=squid-announce&m=138692810910759&w=2) новая стабильная ветка прокси-сервера Squid 3.4 (http://wiki.squid-cache.org/Squid-3.4), которая по заявлению разработчиков достигла состояния готовности для промышленного использования. После придания ветке 3.4.x статуса стабильной, в ней отныне будут производиться только исправления уязвимостей и проблем со стабильностью, также допускается внесение небольших оптимизаций. Поддержка прошлой стабильной ветки 3.3.x прекращена, пользователям рекомендуется спланировать переход на ветку 3.4.x.Основные новшества Squid 3.4:
- Расширены (http://wiki.squid-cache.org/Features/AddonHelpers) возможности протокола для взаимодействия с хелперами, который может применяться для запуска внешних обработчиков аутентификации, перезаписи URL, перенаправления запросов и обработки ACL. В новой версии реализована возможность возвращения хелпером произвольных пар ключ/значение, что позволяет решить проблемы с прямой и обратной совместимостью хелперов с различными версиями Squid. Добавлена поддержка возврата кода внутренней ошибки (BH) для всех типов хелперов, независимо от кода отклонения изменений (ERR), что позволяет инициировать в Squid операции восстановления с учётом специфики проблемы;- Реализация (http://wiki.squid-cache.org/Features/SslServerCertValidator) хелпера для проверки валидности SSL-сертификатов, позволяющего выполнить дополнительные проверки после базовой внутренней верификации сертификата средствами OpenSSL. На вход хелпера подаётся изначальный сертификат сервера, целевое имя домена и список ошибок, выявленных при проверке в OpenSSL. Хелпер может подтвердить или игнорировать ошибки, сообщённые OpenSSL, или выявить другие проблемы. Настройка хелпера производится при помощи директив sslcrtvalidator_program и sslcrtvalidator_children;
- Возможность определения хелпера с реализацией собственного алгоритма вычисления идентификаторов записей в кэше Store-ID (http://wiki.squid-cache.org/Features/StoreID), используемого вместо штатного механизма маппинга URL в Store-ID. Подобный хелпер можно использовать для генерации одинаковых Store-ID для идентичного контента, доступного через отличающиеся URL (например, одна и также страница может быть доступна через разные схемы задания URL или могут быть игнорированы не влияющие на результат служебные переменные, такие как utm_source). В итоге можно повысить эффективность кэширования за счёт сокращения дублирования данных в кэше. Вызов хелпера производится через директивы store_id_program и store_id_access;
- Поддержка TPROXY для организации прозрачного перехвата и перенаправления через прокси HTTP-запросов в OpenBSD 5.1+ и FreeBSD 9+. Для перенаправления трафика в OpenBSD (http://wiki.squid-cache.org/ConfigExamples/Intercept/OpenBsdPf) и FreeBSD (http://wiki.squid-cache.org/ConfigExamples/Intercept/FreeBsdPf) может использоваться правило divert-to пакетного фильтра PF. Во FreeBSD 9 и более новых выпусках можно использовать штатные возможности IPFW. Для включения поддержки указанных возможностей следует собрать squid с опциями configure "--enable-pf-transparent" и "--enable-ipfw-transparent";
- Добавлена директива note для создания аннотированных транзакций. При помощи ACL к любым транзакциям может быть привязана аннотация в формате имя=значение, которая будет отображена в логах при указании опции форматирования "%note". Аннотацию также можно привязать через создание специального хелпера. Аннотация может быть передана в виде HTTP-заголовка модулям eCAP и сервисам CAP, используя директиву adaptation_meta, или проверена в файле конфигурации при помощи опции test директивы ACL с типом note.- Поддержка mDNS (multicast DNS, RFC 6762 (http://tools.ietf.org/html/rfc6762)) во встроенном компоненте разрешения имён в DNS. Для включения поддержки mDNS следует использовать директиву dns_multicast_local. mDNS автоматически применяется для доменов, оканчивающихся на ".local" и обратных преобразований адресов, перед второй попыткой определения имени штатным резолером. Поддержка внешних хелперов для разрешения имён объявлена устаревшей и будет прекращена в будущих выпусках Squid.
URL: http://marc.info/?l=squid-announce&m=138692810910759&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=38659
Мне вот интересно - он все так же гонит в транспарентном режиме на Solaris? И ругается на права /dev/ipnat, даже если они 777?Как-то мне не хочется продуктивный 2.7 менять на темную лошадку.
Меняйте squid вместе с операционной системой.
> Меняйте squid вместе с операционной системой.С какого перепугу? Компания, поддерживающая ОСь, приказала долго жить? Или чо?
> С какого перепугу? Компания, поддерживающая ОСь, приказала долго жить?Ты не поверишь...
Насколько я знаю, вышел релиз 1/13. Уже от компании покупателя. И чо дальше?
> Насколько я знаю, вышел релиз 1/13. Уже от компании покупателя. И чо дальше?Закoпайте стюардессу, она уже пованивает.
> Насколько я знаю, вышел релиз 1/13. Уже от компании покупателя. И чо дальше?А дальше то, что Вы, вместо того, что бы собрать пакет, фигакнули
squid из исходников. Дабы работа с кешем, вследствии включения
aсинхронного ввода-вывода повысилась. Все для нужд бизнес-центра, не
так ли?
Его для транспарента так и так надо из исходников собирать. Ты хоть где-нибудь в репах видел собранный пакет "Транспарентный сквид"? И - да, я собираю его с поддержкой AIO - и, ты не поверишь! - на ZFS оно офигительно работает.
А собрать _пакет_ и установить _пакет_, тяжело?
Объяснить, для чего надо делать именно так?
Некромант.
С хера ли некромант? Система вполне себе жива, развивается и поддерживатся.И, кстати, много ли вы знаете операционок,которые после power off приходят просто при включении, без fsck? Ась? Огласите весь список, пжалста!
Любая, поставленная на журналируемую FS.ЗЫ С разморозкой! :)
> Любая, поставленная на журналируемую FS.
> ЗЫ С разморозкой! :)Я-я, сосать!
Только zfs имеет консистентное состояние на диске В ЛЮБОЙ МОМЕНТ ВРЕМЕНИ.
Остальные требуют запуска fsck после fade out.
И чо дальше?
> Только zfs имеет консистентное состояние на диске В ЛЮБОЙ МОМЕНТ ВРЕМЕНИ.Манагеры оракела напели? Ну да, им-то можно верить. Верим, верим!
>> Только zfs имеет консистентное состояние на диске В ЛЮБОЙ МОМЕНТ ВРЕМЕНИ.
> Манагеры оракела напели? Ну да, им-то можно верить. Верим, верим!Чувак, я примерно 8 лет активно использую Соляру на ZFS, а всего соляру использую свыше 19 лет. Мне поср@ть, во что ты там веришь - верь хоть в бога, а я то, что вякаю, в точности ЗНАЮ и проверял ЛИЧНО. Всосал?
Чувак! Очень может быть, что твой опыт Соляры и ZFS говорит о том что "zfs имеет консистентное состояние на диске В ЛЮБОЙ МОМЕНТ ВРЕМЕНИ". Очень может быть что так оно есть, даже спорить с этим не буду. Но каким образом опыт использования Соляры и ZFS может помочь знать что "ТОЛЬКО zfs имеет..."? Только! Ты знаешь и проверил "ЛИЧНО" всё остальное что есть в мире? Или все-таки поверил кому-то кто такое сказанул (см. коммент выше, например)?
>Я-я, сосать!Не припомню, чтобы в топике звучали просьбы, но инициатива похвальная.
DragonFlyBSD с HAMMER`ом.
> С хера ли некромант? Система вполне себе жива, развивается и поддерживатся.
> И, кстати, много ли вы знаете операционок,которые после power off приходят просто
> при включении, без fsck? Ась? Огласите весь список, пжалста!Виндовс 7, епта =)) ваще без проблем.
У меня FreeBSD 9.1 дома стоит шлюзаком с ZFS на борту, так дочь простой кнопкой питания выключает (кнопка от выключателя света) и вот уже год как... :) А вот если poweroff команду даст... Но это так редко.... И до сих пор нареканий нет !
видимо мои надежды на то что появится работа с NAT останутся тщетны
> работа с NATЭто как? Поясните, пожалуйста?
> То, что анон написал выше. Траснпарентный прокси.А что с ним не так?
> А ты не в теме, анон.
Да, скилл телепатии не прокачан :(
>> То, что анон написал выше. Траснпарентный прокси.
> А что с ним не так?Он не работает на всех осях в 3.х
>> А ты не в теме, анон.
> Да, скилл телепатии не прокачан :(Если бы ты реально пробовал хотя бы раз собрать сквид тройку и заглянуть в его лог после запуска - ты был бы в теме. А так - ты просто попесдеть заглянул.
Вот я похоже не понял, разве транспарент это не тупо перехват трафика и перенаправление его на левый порт прокси средствами например pf?
Хорошая вещь!Но, мир меняется?!?! В какую сторону, это вопрос многосторонний.
Например:
"В протоколе HTTP/2.0 предложено перейти к обязательному использованию HTTPS для всех соединений" www.opennet.ru/opennews/art.shtml?num=38424Так что Squid-у будет не легко, но конечно же необходимо развиваться!
Например:
www.opennet.ru/opennews/art.shtml?num=32909
и
www.chromium.org/spdy/spdy-proxyВ общем, удачи и успешного развития проекту!
>[оверквотинг удален]
> Но, мир меняется?!?! В какую сторону, это вопрос многосторонний.
> Например:
> "В протоколе HTTP/2.0 предложено перейти к обязательному использованию HTTPS для всех соединений"
> www.opennet.ru/opennews/art.shtml?num=38424
> Так что Squid-у будет не легко, но конечно же необходимо развиваться!
> Например:
> www.opennet.ru/opennews/art.shtml?num=32909
> и
> www.chromium.org/spdy/spdy-proxy
> В общем, удачи и успешного развития проекту!Ути-пути. SSL Bump? Щаз, это нарушение стандарта. Которого еще нет, я правильно понял?
а что не так с хттпс в сквиде ?
> а что не так с хттпс в сквиде ?Не кеширует :( Или я не прав?
Не хватает взаимодействия с Linux QoS. В том смысле, чтобы определение типа траффика прикладного уровня делал Squid, а QoS распознанного типа делало ядро уже своими штатными гибкими средствами.
> Не хватает взаимодействия с Linux QoS. В том смысле, чтобы определение типа
> траффика прикладного уровня делал Squid, а QoS распознанного типа делало ядро
> уже своими штатными гибкими средствами.А должно? QoS и на цисках-то не всегда работае со всеми девайсами. Ага-ага, в 2013м году. Точно, ты прав, анон. Фак. Но не работает.
> Не хватает взаимодействия с Linux QoS. В том смысле, чтобы определение типа
> траффика прикладного уровня делал Squid, а QoS распознанного типа делало ядро
> уже своими штатными гибкими средствами.есть, давно уже, но убунтушники должны страдать
Тогда подскажи гентушникам, в какую сторону копнуть.
Так вот сквид - это тот прокси, который установил один раз и забыл что это такое. Сейчас на работе стоит wingate - какое чмо его делало не знаю, но 3 раза в месяц стабильный перезагрузин wingate (через снятие процесса)!
Забыл добавить, wingate - лицензионный и куплен за огромные "бабки"
Ещё можно добавить про TMG. Которые требует покупку на стороне примочек для обсчёта трафика/косов - то чего под сквидом как за баней. А скоро этот TMG кончается и на замену его идёт несколько продуктов полностью не покрывающих эту нишу. Реальная дрянь за кучу денег.
ЗЫ интересно а кто-нибудь пользующий delegate остался? В своё время была интересная прожка.
Когда будет в портах? (squid)