forum.opennet.ru - "Стабильный релиз прокси-сервера Squid 7" (73)

"Стабильный релиз прокси-сервера Squid 7"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Стабильный релиз прокси-сервера Squid 7"	+/–
Сообщение от opennews (??), 04-Авг-25, 10:51
Представлен стабильный релиз прокси-сервера Squid 7.1, готовый для использования в рабочих системах (выпуски 7.0.x имели статус бета-версий). После придания ветке 7.x статуса стабильной, в ней отныне будут производиться только исправления уязвимостей и проблем со стабильностью, также допускается внесение небольших оптимизаций. Разработка новых возможностей будет производиться в новой экспериментальной ветке 8.0. Пользователям прошлой стабильной ветки 6.x рекомендуется спланировать переход на ветку 7.x... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63676
Ответить \| Правка \| Cообщить модератору

Оглавление

Ну такое В 90е и ранние 2000е оно понятно зачем было нужно, но еле развивалось, Аноним (1), 10:51 , 04-Авг-25, (1) +6

А какие решения для контроля доступа есть , nikweter (?), 11:16 , 04-Авг-25, (4) +1

ngfw, Аноним (6), 11:25 , 04-Авг-25, (6) +1

Ссылку можно А то в гугля либо какие-то платные штуки, либо абстрактный класс П, nikweter (?), 13:02 , 04-Авг-25, (17)

Чистого opensource нет Как правило, ваяют что-то свое, заумное, платное, на ба, АнонимЯ (?), 00:48 , 05-Авг-25, (49)
OPNsense веб-интерфейс похож на ngfw но по сути , 0xdeadbee (-), 05:13 , 05-Авг-25, (51)

так ломайте ssl то, Аноним (63), 13:44 , 05-Авг-25, (63)

А нельзя взять и сделать unwrap SSL-а в обычный HTTP или элементарно подменять с, Аноним (76), 11:00 , 07-Авг-25, (76)

Ну почему - на джвух последних местах работы с его помощью до сих пор по AD траф, Жироватт (ok), 11:25 , 04-Авг-25, (5) –3

Врёшь ты Леночки сидят на мобиле давно , Вы забыли заполнить поле Name. (?), 12:10 , 04-Авг-25, (14) +4

с вайфая, да Им свой симочный трафик жалко, Жироватт (ok), 12:29 , 04-Авг-25, (15) +1

Если безопасники начнут выпендриваться - то таки и с мобильного интернета сидят , Аноним (-), 16:47 , 04-Авг-25, (33) +1
По-моему уже у любого провайдера даже в самом бомж тарифе есть безлимит хотя бы , НяшМяш (ok), 19:00 , 04-Авг-25, (39)

а вот и всё, нет больше такого, Аноним (63), 13:45 , 05-Авг-25, (64)

Сидим всей конторой на Ютубе, никаких проблем с офисным каналом трафиком не набл, хехмда (?), 13:51 , 04-Авг-25, (21) +13

У кого что болит, лол Перечитай мой ответ , Жироватт (ok), 08:21 , 05-Авг-25, (54)

Зачем в таких местах люди работают, если навалом мест без этого вот вахтёрства , Аноним (29), 16:38 , 04-Авг-25, (29) +2

15-25 к белой ЗП от средней по рынку полноценные 28 дней отпуска выслуга лет, Жироватт (ok), 08:19 , 05-Авг-25, (52) –1

Норм, за эти деньги же можно свой бесправный VPN поднять же , Аноним (57), 10:29 , 05-Авг-25, (57)

ютуб же порезан, как там сидеть можно , Аноним (38), 18:37 , 04-Авг-25, (38)

Просто нормальным провайдером надо пользоваться, которые не выпендриваются В Мос, Аноним (57), 10:23 , 05-Авг-25, (56) –1

Товарищмайёр , пох. (?), 15:35 , 05-Авг-25, (68)

Ну он же будет из самого доверенного источника , 1 (??), 16:32 , 05-Авг-25, (69)

ты забываешь что это вполне годный прокси с поддержкой TLS и аутенфикацией клиен, penetrator (?), 11:55 , 04-Авг-25, (11) +7
MitM всего трафика и1 Блокировка по полным URL2 Правка http на лету, вырезка в, Аноним (-), 13:50 , 04-Авг-25, (20)
Ну как какие юзкейсы MITM с подменным корпоративным сертификатом , Tron is Whistling (?), 14:41 , 04-Авг-25, (23) +1

в подвале из трех человек, угу У остальных обычно таки что-то специально для это, нах. (?), 16:21 , 04-Авг-25, (27)

Угу, суриката называется Выбор есть только между squid и сурикатой , Аноним (30), 16:39 , 04-Авг-25, (30)

Угу, в той сурикате ссл бампинг прикрутить ещё надо постараться , RHEL fan (?), 22:52 , 06-Авг-25, (73)

Ну, как тебе сказать Вот, в лидере отечественной нефтехимии а к а Сибуре аж це, User (??), 19:32 , 04-Авг-25, (43)

А без MitM оно вообще зачем Как фильтровать https SSL трафик будет , Аноним (-), 11:27 , 05-Авг-25, (59)

Во-первых, это красиво С Как-как - да никак Прикрутили к кальмару вот ufdb, User (??), 13:05 , 05-Авг-25, (61)
банальный белый список, например Ну зачем сотруднику сибура - ютруп в рабочее в, пох. (?), 15:21 , 05-Авг-25, (67)

Уот А не это ваше вот полуподвальное ну, чисто теоретически, для корп-решения б, пох. (?), 15:17 , 05-Авг-25, (66)

Если не путаю - в процессе замены на ngfw от user gate, аж в аппаратном исполне, User (??), 17:24 , 05-Авг-25, (70)

А вот firewall фильтрует только по ip-адресам и маске а фильтрацию dstdomain мо, Nureke (?), 14:53 , 04-Авг-25, (24) –1

не фанат l3 микротика, но там это давно, Аноним (62), 13:34 , 05-Авг-25, (62)

Л3 про домены ничего не знает, поэтому ресолвит их и фильтрует по ip Некоторые , RHEL fan (?), 23:00 , 06-Авг-25, (74)

Вы не поверите, но у нас у одного из клиентов был древнючий SAMS надстройка над, Abyss777 (?), 08:24 , 05-Авг-25, (55)
Когда сайт с 2мя картинки загружается 10 секунд на 1 гигабите, тут не http 3 над, Аноним (65), 13:55 , 05-Авг-25, (65)

Хм, Жироватт (ok), 10:53 , 04-Авг-25, (2) +8

зачистка старья , Аноним (25), 15:36 , 04-Авг-25, (25)

теперь точно точно стабилен, Аноним (57), 11:03 , 04-Авг-25, (3) –2
Как у него с websocket сейчас В предыдущих версиях с ssl-bump ничего не работал, Аноним (7), 11:26 , 04-Авг-25, (7)

Сейчас работает , Аноним (8), 11:35 , 04-Авг-25, (8)

А Authority Key Identifier он в поддельные сертификаты умеет вставлять Много со, RHEL fan (?), 23:09 , 06-Авг-25, (75)

Socks5 когда завезут , Аноним (9), 11:39 , 04-Авг-25, (9)

sockd не хватает , penetrator (?), 11:55 , 04-Авг-25, (12)

Предыдущая новость про squid была 12 10 2023 В прокси-сервере Squid выявлено 55 , Аноним (-), 11:40 , 04-Авг-25, (10) –6

Шёл 2025 год Анонимные аналитики продолжали публиковать новости двухлетней давн, Аноним (58), 11:11 , 05-Авг-25, (58) +1

Основные новшества Squid 7 Удалена Убран Удалена Удален Удалена П, зомбированный (?), 11:59 , 04-Авг-25, (13) +3

Главное, чтоб ничего нового всё ломающего не завезли Как вспомнишь непомук с а, 1 (??), 12:34 , 04-Авг-25, (16)

непомук с аконадями вроде в кедах же, Аноним (34), 16:55 , 04-Авг-25, (34)

в посте изменения только для версий 7 1, если смотреть всю ветку 7 изменений мн, DaRoni (ok), 13:10 , 04-Авг-25, (18)
Хорошо же наоборот Челы понимают, чем опасен scope creep Иначе получится второ, Аноним (19), 13:49 , 04-Авг-25, (19) +1

Можете более понятными терминами объяснить Я не понял , Аноним (60), 12:34 , 05-Авг-25, (60) +1

Думал, что Squid 128025 уже на свалке, а HAProxy с Nginx полностью закрывают , Голдер и Рита (?), 14:37 , 04-Авг-25, (22) –5

Но нет Для всякого инструмента есть своя область применения, в том числе для ск, Аноним (26), 15:37 , 04-Авг-25, (26)
госпади боже как на ит ресурсе можно не различать прокси и реверс прокси, чатжпт (?), 18:25 , 04-Авг-25, (37) +7

Э Ну так-то прокси для http можно из обоих сделать, не Троллейбус-из-буханки , User (??), 19:38 , 04-Авг-25, (44)
Сквид, кстати, тоже умеет в реверс-прокси, Аноним (50), 02:41 , 05-Авг-25, (50)

Этот сквирт до сих пор не поддерживает из коробки socks5 3proxy лучше абсолютно , Ilya Indigo (ok), 16:35 , 04-Авг-25, (28)

А кешировать http он, таки, научился , Аноним (-), 16:45 , 04-Авг-25, (32) –1

Кешировать он ещё 20 лет назад умел, когда это мне ещё было нужно Правда я ещё т, Ilya Indigo (ok), 17:18 , 04-Авг-25, (35)

А где это в нем Основная проблема этого 3proxy - просто полный крындец с докуме, Аноним (-), 19:18 , 04-Авг-25, (42) –1

Извиняюсь, nscache, это кеширование DNS, а не трафика Трафик он, действительно к, Ilya Indigo (ok), 19:40 , 04-Авг-25, (45)

Это как бы здорово другое Ибо одно дело - качнуть пакет N мегов 1 раз и другое , Аноним (-), 18:46 , 05-Авг-25, (71)

Слушай, 3proxy был написан 3APA3A где-то в конце 90ых-начале 00ых, отсюда и Wind, Эксконтрибутор FreeBSD (?), 20:09 , 04-Авг-25, (46) +1

Субъективно у этого проекта 1 Дофига фич Иногда прикольных Но 2 С докуме, Аноним (-), 18:57 , 05-Авг-25, (72)

Интересный список улучшений и инноваций для новой мажорной версии , Аноним (-), 16:42 , 04-Авг-25, (31) +2

Почему нет В своё время чистка авгиевых конюшен инновационным способом тоже был, НяшМяш (ok), 19:03 , 04-Авг-25, (41) +1
Это же вайп кодинг - скидываем ИИ запутанный легаси код, и получаем современный , Аноним (57), 21:00 , 04-Авг-25, (47) +1

Свайп-кодинг, Аноним (48), 00:47 , 05-Авг-25, (48) –1

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 04-Авг-25, 10:51 +6 +/–

Ну такое.. В 90е и ранние 2000е оно понятно зачем было нужно, но еле развивалось. C 2.4 до 2.6 вечность прошла без особых фич. Адблокеры и прочее внешними плагинами, очень неудобно. А сейчас версии клепают, но кто его еще использует?
После появления http/2 и массового перехода на SSL, какие юзкейзы остались?
Для контроля доступа корпоративных пользователей сейчас есть куда более функциональные и удобные решения, а "ускорение" интернета в 2025 сквид дать явно не может - когда страницы это "приложения", завязанные на постоянные запросы к серверу для реализации внутренней логики, для ускорения нужен HTTP/3 (которого тут нет), а не дополнительные промежуточные прослойки.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #5, #11, #20, #23, #24, #55, #65

2. Сообщение от Жироватт (ok), 04-Авг-25, 10:53 +8 +/–

> Удалён... удалён... прекращена... удалён... убран доступ...
Хм

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

3. Сообщение от Аноним (57), 04-Авг-25, 11:03 –2 +/–

теперь точно точно стабилен

Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от nikweter (?), 04-Авг-25, 11:16 +1 +/–

А какие решения для контроля доступа есть?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6, #63

5. Сообщение от Жироватт (ok), 04-Авг-25, 11:25 –3 +/–

Ну почему - на джвух последних местах работы с его помощью до сих пор по AD траффик шейпят. Удобно.
Плюс безопасники/кадровики статистику снимают, кто и где сидит. Не знаю, по поводу безопасников, но тупоголовых Леночек с векашечками и ютюпчиками уже пару лет как штрафуют и увольняют.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #14, #21, #29, #38

6. Сообщение от Аноним (6), 04-Авг-25, 11:25 +1 +/–

ngfw

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #17

7. Сообщение от Аноним (7), 04-Авг-25, 11:26 +/–

Как у него с websocket сейчас? В предыдущих версиях с ssl-bump ничего не работало.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

8. Сообщение от Аноним (8), 04-Авг-25, 11:35 +/–

Сейчас работает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #75

9. Сообщение от Аноним (9), 04-Авг-25, 11:39 +/–

Socks5 когда завезут?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

10. Сообщение от Аноним (-), 04-Авг-25, 11:40 –6 +/–

Предыдущая новость про squid была
12.10.2023 В прокси-сервере Squid выявлено 55 уязвимостей, 35 из которых пока не исправлены
opennet.ru/opennews/art.shtml?num=59915
Оно все такое же дырявое как раньше?
Или они решили латать дыры удалением функциональности?)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #58

11. Сообщение от penetrator (?), 04-Авг-25, 11:55 +7 +/–

ты забываешь что это вполне годный прокси с поддержкой TLS и аутенфикацией клиентов
никогда его не юзал для кеша, а как проксю регулярно

> для ускорения нужен HTTP/3
смешно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

12. Сообщение от penetrator (?), 04-Авг-25, 11:55 +/–

sockd не хватает?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

13. Сообщение от зомбированный (?), 04-Авг-25, 11:59 +3 +/–

Основные новшества Squid 7:
Удалена ...
Убран ...
Удалена ...
Удален ...
Удалена ...
Прекращена ...
Удаленs ...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #18, #19

14. Сообщение от Вы забыли заполнить поле Name. (?), 04-Авг-25, 12:10 +4 +/–

Врёшь ты.
Леночки сидят на мобиле давно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #15, #64

15. Сообщение от Жироватт (ok), 04-Авг-25, 12:29 +1 +/–

> Леночки сидят на мобиле давно.
...с вайфая, да. Им свой симочный трафик жалко

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #33, #39

16. Сообщение от 1 (??), 04-Авг-25, 12:34 +/–

Главное, чтоб ничего нового (всё ломающего не завезли).
Как вспомнишь непомук с аконадемб так сразу спасибо хочется сказать. Что задвинул тогда этот гном.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #34

17. Сообщение от nikweter (?), 04-Авг-25, 13:02 +/–

Ссылку можно? А то в гугля либо какие-то платные штуки, либо абстрактный класс ПО.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #49, #51

18. Сообщение от DaRoni (ok), 04-Авг-25, 13:10 +/–

в  посте изменения только для версий 7.1, если смотреть всю ветку 7 изменений много.
Changes in squid-7.0.2 (19 Jun 2025):
- Bug 5352: Do not get stuck in RESPMOD after pausing peer read(2)
- Bug 5316: Release note says version 6 still for testing
- Bug 5489: Fix "make check" linking on Solaris
- Do not duplicate received Surrogate-Capability in sent requests
- Fix GCC v13 LTO build [-Walloc-size-larger-than=]
- Fix OpenSSL build with GCC v15.1.1 [-Wformat-truncation=]
- Fix tls-dh support for DHE parameters with OpenSSL v3+
- Fix SNMP cacheNumObjCount -- number of cached objects
- Fix Mem::Segment::open() stub to fix build without shm_open()
- Disable EUI when arpreq is missing and cannot be defined
- MinGW: use nameless unions in ext_ad_group_acl
- MinGW: do not build ext_edirectory_userip_acl
- MinGW: add mkdir adapter
- MinGW: fix store/Controller.cc build
- MinGW: fix aio compatibility layer
- MinGW: add libnettle to negotiate_sspi_auth
- negotiate_sspi_auth: Fix command debugging (-v)
- ntlm_sspi_auth: Fix missing base64 symbol linkage
- ... and many portability and compatibility fixes
- ... and some code cleanup

Changes in squid-7.0.1 (2 Feb 2025):
- Remove Edge Side Include (ESI) protocol
- Remove Ident protocol support
- Remove cache_object protocol support
- Remove cachemgr.cgi tool
- Remove tool 'purge' for management of UFS/AUFS/DiskD caches
- Remove squidclient
- Remove disabled classful networks code
- Remove dead Multicast Miss Stream feature
- Remove broken and disabled icpPktDump()
- Remove deprecated string memory pools API
- Remove dead "binary HTTP header logging" code (-DHEADERS_LOG)
- Rename --with-gnugss to --with-gss
- Remove krb5_get_max_time_skew portability hack
- Remove PRIuSIZE macro
- Remove ADD_X_REQUEST_URI
- Bug 5390: Non-POD SquidConfig::ssl_client::sslContext exit crash
- Bug 5363: Handle IP-based X.509 SANs better
- Bug 5383: handleNegotiationResult() level-2 debugs() crash
- Bug 5449: Ignore SP and HTAB chars after chunk-size
- Bug 5428: Warn if pkg-config is not found
- Bug 5293: Security::CreateClientSession uses wrong TLS options
- Bug 5417: An empty annotation value does not match
- Bug 5322: Do not leak HttpReply when checking http_reply_access
- Bug 5329: cbdata.cc:276 "c->locks > 0" assertion on reconfigure
- Bug 5119: Null pointer dereference in makeMemNodeDataOffset()
- Bug 5254, part 1: Do not leak master process' cache.log to kids
- Bug 5312: Startup aborts if OPEN_MAX exceeds RLIMIT_NOFILE
- Bug 4156: comm.cc "!commHasHalfClosedMonitor(fd)" assertion
- ext_time_quota_acl: restore debug level feature and argument
- ext_ad_group_acl: fix dependency detection
- ext_time_quota_acl: convert to c++
- scripts/find-alive.pl: Auto-detect auto-added ctors/dtors names
- negotiate_wrapper_auth: protect from responses over 64KB
- negotiate_kerberos_auth: Support Kerberos PAC-ResourceGroups
- pinger: improve timer accuracy and resolution
- testheaders.sh: force-remove temporary files
- squid-conf-tests: Ignore tests with mismatching autoconf macro
- MinGW: Emulate fsync
- MinGW: fix winsock dependency issues
- MinGW-w64: enable native file locking
- Windows: Drop obsolete WinSock v1 library
- Windows: Improve PSAPI.dll detection
- basic_sspi_auth: MinGW build fixes
- HTTP: Protect just-parsed responses from accidental destruction
- WCCP: fix inverted range check
- Y2038: Fix cache_peer connect-timeout reporting
- Y2038: Use time_t for commSetConnTimeout() timeout parameter
- Work around some mgr:forward accounting/reporting bugs
- Fix: Ftp::Gateway may segfault in level-3 double-complete debugs()
- Do not mark successful FTP PUT entries with ENTRY_BAD_LENGTH
- Fix ENTRY_ABORTED assertion in sendClientOldEntry()
- Limit Server::inBuf growth
- Reject config with unknown directives before committing to it
- Fix and redefine meaning of total peering time (%<tt)
- Fix use-after-free in peerDigestFetchReply()
- Fix use-after-free in statefulhelper::submit() level-9 debug
- Fix PeerDigest lifetime management
- Fix Tokenizer::int64() parsing of "0" when guessing base
- Fix SMP mgr:userhash, mgr:sourcehash, and mgr:carp reports
- Fix reporting of unrecognized directives
- Do not blame cache_peer for CONNECT errors
- Fix heap buffer overead in ConfigParser::UnQuote()
- Do not die when parsing obsolete log_access and log_icap
- Extend in-use ACLs lifetime across reconfiguration
- Fix MemObject.cc:123: "!updatedReply_" assertion
- Avoid UB when packing a domain name
- Fix qos_flows confguration reporting
- Fix and improve annotation reporting
- Fix configuration crashes on malformed sslproxy_* directives
- Avoid UB when copying AnyP::Uri
- Fix and improve html_quote()
- Fix acl annotate_transaction reporting in mgr:config
- Fix ipv4 and expand ipv6 ACL parameter matching
- Fix Controller.cc TheRoot assertion during shutdown
- Fix Comm::TcpAcceptor::status() reporting of listening address
- Fix performance regressions with fastCheck() result copying
- Fix handling of zero cache_peers
- Fix cbdata assertion in carpInit()
- Fix: REQMOD stuck when adapted request (body) is not forwarded
- Fix rock/RockSwapDir.cc "slot->sameKey()" assertion
- Fix dupe handling in Splay ACLs: src, dst, http_status, etc.
- Protect ACLFilledChecklist heap allocations from leaking
- Stop leaking PeerDigests on reconfiguration
- Handle helper program startup failure as its death
- Kill helpers that speak without being spoken to
- annotate_client and annotate_transaction ACLs must always match
- Restrict squid.conf preprocessor space characters to SP and HT
- Drop helpless helper requests
- Improve Tunnel Server RESPONSE dumps
- Do not lookup IP addresses of X509 certificate subject CNs
- Report cache_peer context in probe and standby pool messages
- Treat responses to collapsed requests as fresh
- Do not TLS close_notify when resetting a TCP connection
- Simplified quick_abort_pct code and improved its docs
- Update HTTP status codes
- Report all refreshCheck() outcomes and entry gist
- Prohibit bad --enable-linux-netfilter combinations
- Use ERR_ACCESS_DENIED for HTTP 403 (Forbidden) errors
- Scaffolding for YAML-formatted cache manager reports
- Improve ErrorState debugging
- Stop zeroing huge memAllocBuf() buffers
- Enable EDNS for DNS A queries and reverse IPv4 lookups
- Format mgr:pconn as YAML
- Use ERR_READ_ERROR for read-from-client I/O errors
- Use AnyP::Uri::Decode() for urllogin and url_regex checks
- Throw, not self_destruct(), on qos_flow configuration errors
- Add %byte{value} logformat code for logging or sending any byte
- Do not report bogus/empty SMP cache_dir indexing stats
- Report/abort on any catastrophic rock cache_dir indexing failure
- Recognize internal requests created by adaptation/redirection
- Log %err_code for ERR_RELAY_REMOTE transactions
- Restore errno in %err_detail for ERR_CONNECT_FAIL
- Report all AsyncJob objects (mgr:jobs)
- Cover OnTerminate() calls unrelated to exception handling
- Keep ::helper objects alive while in use by helper_servers
- Add SQUID_CHECK_LIB_WORKS autoconf macro
- Reject more CONNECT requests with malformed targets
- Forget non-peer access details
- Do not report DNS answers without A/AAAA records by default
- Destroy an idle PeerDigest after its CachePeer disappears
- Do not apply custom debugs() format to Debug::Extra lines
- Do not check store_status when checking ENTRY_BAD_LENGTH
- Add buffered_logs OFF support to UDP logger
- ... and many documentation improvements
- ... and many portability and compatibility fixes
- ... and many code cleanups
- ... and improvements to unit tests
- ... and some error page translation improvements
- ... and all fixes from 6.13

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

19. Сообщение от Аноним (19), 04-Авг-25, 13:49 +1 +/–

Хорошо же наоборот. Челы понимают, чем опасен scope creep. Иначе получится второе кэдэйэ.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #60

20. Сообщение от Аноним (-), 04-Авг-25, 13:50 +/–

> После появления http/2 и массового перехода на SSL, какие юзкейзы остались?
MitM всего трафика и
1. Блокировка по полным URL
2. Правка http на лету, вырезка вирей, ...
3. Изменение на лету всех http заглавий нам правильные и нужные
4. Проверка на вирусы
5. Контроль доступа в интернет, статистика использования по пользователям, ....

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

21. Сообщение от хехмда (?), 04-Авг-25, 13:51 +13 +/–

Сидим всей конторой на Ютубе, никаких проблем с офисным каналом трафиком не наблюдается.
Может вам лечить шизу а не людей увольнять?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #54

22. Сообщение от Голдер и Рита (?), 04-Авг-25, 14:37 –5 +/–

Думал, что Squid 🐙 уже на свалке, а HAProxy с Nginx полностью закрывают все потребности юзеров.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26, #37

23. Сообщение от Tron is Whistling (?), 04-Авг-25, 14:41 +1 +/–

Ну как какие юзкейсы. MITM с подменным корпоративным сертификатом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #27

24. Сообщение от Nureke (?), 04-Авг-25, 14:53 –1 +/–

А вот firewall фильтрует только по ip-адресам и маске. а фильтрацию dstdomain можно сделать только в squid. Настроить обновление своего парка домашних серверов только с разрешенных серверов и спать спокойно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #62

25. Сообщение от Аноним (25), 04-Авг-25, 15:36 +/–

зачистка старья?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

26. Сообщение от Аноним (26), 04-Авг-25, 15:37 +/–

Но нет. Для всякого инструмента есть своя область применения, в том числе для сквида. Попробуй для развлечения Касперского к Хапроксе или Nginx подключить для антивирусного мониторинга трафика.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

27. Сообщение от нах. (?), 04-Авг-25, 16:21 +/–

в подвале из трех человек, угу.
У остальных обычно таки что-то специально для этой цели предназначенное, а не васян-поделка-зато-забесплатная.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #30, #43

28. Сообщение от Ilya Indigo (ok), 04-Авг-25, 16:35 +/–

Этот сквирт до сих пор не поддерживает из коробки socks5?
3proxy лучше абсолютно во всём, как 20 лет назад, так и сейчас!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32

29. Сообщение от Аноним (29), 04-Авг-25, 16:38 +2 +/–

> безопасники/кадровики статистику снимают, кто и где сидит
> Леночек с векашечками и ютюпчиками уже пару лет как штрафуют и увольняют.
Зачем в таких местах люди работают, если навалом мест без этого вот вахтёрства?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #52

30. Сообщение от Аноним (30), 04-Авг-25, 16:39 +/–

Угу, суриката называется. Выбор есть только между squid и сурикатой.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #73

31. Сообщение от Аноним (-), 04-Авг-25, 16:42 +2 +/–

> Удалена поддержка языка разметки ESI (Edge Side Includes).
> Убран доступ к Cache Manager с использованием схемы cache_object://
> Удалена утилита squdclient, вместо которой следует использовать "curl
> Удалён обработчик cachemgr.cgi.
> Удалена утилита purge, вместо которой следует использовать HTTP-метод PURGE.
> Прекращена поддержка протокола Ident.
> Удалены обработчики basic_smb_lm_auth и ntlm_smb_lm_auth,
Интересный список улучшений и инноваций для новой мажорной версии :)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41, #47

32. Сообщение от Аноним (-), 04-Авг-25, 16:45 –1 +/–

> 3proxy лучше абсолютно во всём, как 20 лет назад, так и сейчас!
А кешировать http он, таки, научился?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #35

33. Сообщение от Аноним (-), 04-Авг-25, 16:47 +1 +/–

> ...с вайфая, да. Им свой симочный трафик жалко
Если безопасники начнут выпендриваться - то таки и с мобильного интернета сидят на раз.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

34. Сообщение от Аноним (34), 04-Авг-25, 16:55 +/–

непомук с аконадями вроде в кедах же

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

35. Сообщение от Ilya Indigo (ok), 04-Авг-25, 17:18 +/–

>> 3proxy лучше абсолютно во всём, как 20 лет назад, так и сейчас!
> А кешировать http он, таки, научился?
Кешировать он ещё 20 лет назад умел, когда это мне ещё было нужно.
Правда я ещё тогда уже только socks5 использовал.
У 3proxy разве есть проблемы с кешированием http?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #42

37. Сообщение от чатжпт (?), 04-Авг-25, 18:25 +7 +/–

госпади боже. как на ит ресурсе можно не различать прокси и реверс прокси

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #44, #50

38. Сообщение от Аноним (38), 04-Авг-25, 18:37 +/–

ютуб же порезан, как там сидеть можно?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #56

39. Сообщение от НяшМяш (ok), 04-Авг-25, 19:00 +/–

По-моему уже у любого провайдера даже в самом бомж тарифе есть безлимит хотя бы на соцсети с мессенджером МАХ. Леночки даже и не знали до недавнего времени что такое Wi-Fi, та же статистика увеличившихся заявок на проводное подключение это доказывает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

41. Сообщение от НяшМяш (ok), 04-Авг-25, 19:03 +1 +/–

Почему нет. В своё время чистка авгиевых конюшен инновационным способом тоже была улучшением.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

42. Сообщение от Аноним (-), 04-Авг-25, 19:18 –1 +/–

> Кешировать он ещё 20 лет назад умел, когда это мне ещё было нужно.
А где это в нем? Основная проблема этого 3proxy - просто полный крындец с документацией! Когда я на него смотрел, нормальная дока была только на русском, да еще ажно в CP1251, чтобы точно "снизу постучали". Вот это я понимаю - отстойная документация как она есть.
На вид оно может - почти все. Но с такой документацией вы очешуеете гораздо раньше чем настроите это. Так что если я не заметил фичу - спасибы документации этой штуки.
> Правда я ещё тогда уже только socks5 использовал.
> У 3proxy разве есть проблемы с кешированием http?
Ну например я так сходу не заметил где у него кеш HTTP. Для себя я polipo юзаю - в основном как кеш для бутстрапа VM и образов, пакеты DEB по HTTP отдаются и их можно кешировать на отлично - что ускоряет генерацию VM/образов в многие разы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #45, #46

43. Сообщение от User (??), 04-Авг-25, 19:32 +/–

Ну, как тебе сказать? Вот, в лидере отечественной нефтехимии а.к.а. Сибуре аж целый интегратор вот на ем аж целое РЕШЕНИЕ делал. Уровня холдинга, ага - с каскадной синхронизацией политик вниз, керберос-аутентификацией и фильтрацией контента. Но без mitm'а - слово безопамникам почему-то не понравилось...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #59, #66

44. Сообщение от User (??), 04-Авг-25, 19:38 +/–

Э. Ну так-то прокси для http можно из обоих сделать, не? Троллейбус-из-буханки...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

45. Сообщение от Ilya Indigo (ok), 04-Авг-25, 19:40 +/–

Извиняюсь, nscache, это кеширование DNS, а не трафика.
Трафик он, действительно кешировать не умеет, не знал.
Значит не во всём лучше.
Хотя в наше время сомнительная функциональность.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #71

46. Сообщение от Эксконтрибутор FreeBSD (?), 04-Авг-25, 20:09 +1 +/–

Слушай, 3proxy был написан 3APA3A где-то в конце 90ых-начале 00ых, отсюда и Windows-1251 в документации
Сейчас в шоке обнаружив, что он поддерживает и обновляет 3proxy. А доки видимо так и не трогал
Если честно, то я думал, что и продукт давно заморожен, и сам 3APA3A уже покинул этот мир, не видел его года с 2000го примерно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #72

47. Сообщение от Аноним (57), 04-Авг-25, 21:00 +1 +/–

Это же вайп кодинг - скидываем ИИ запутанный легаси код, и получаем современный код!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #48

48. Сообщение от Аноним (48), 05-Авг-25, 00:47 –1 +/–

Свайп-кодинг

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

49. Сообщение от АнонимЯ (?), 05-Авг-25, 00:48 +/–

Чистого opensource  нет. Как правило, ваяют что-то свое, заумное, платное, на базе Linux. В общем то ещё болото.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

50. Сообщение от Аноним (50), 05-Авг-25, 02:41 +/–

Сквид, кстати, тоже умеет в реверс-прокси

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

51. Сообщение от 0xdeadbee (-), 05-Авг-25, 05:13 +/–

OPNsense. веб-интерфейс похож на ngfw но по сути ...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

52. Сообщение от Жироватт (ok), 05-Авг-25, 08:19 –1 +/–

+15-25% к белой ЗП от средней по рынку
+ полноценные 28 дней отпуска
+ выслуга лет (бонусная копеечка как произведение стажа на средневзвешенные достижения)
+ нормальное ДМС с полным покрытием зубов в отдельной от обычных больных МСЧ
+ у народа дети едут в собственный ДОЛ за 10к (пока по рынку от 80к в самое гуано)
Все-таки условия лучше оба раза были, чем в стильно-модных конторах со скрамами и аджайлами в новеньком БЦ.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #57

54. Сообщение от Жироватт (ok), 05-Авг-25, 08:21 +/–

У кого что болит, лол.
Перечитай мой ответ.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

55. Сообщение от Abyss777 (?), 05-Авг-25, 08:24 +/–

Вы не поверите, но у нас у одного из клиентов был древнючий SAMS (надстройка над squid), который считал трафик и вёл лимиты. Кое-как уговорили их заменить на голый свежий squid без лимитов, но хотя бы с подсчетом потреблённого трафика в базу.
Их отдел ИТ выставляет счета другим отделам за потреблённый трафик, помегабайтно! При наличии двух безлимитных каналов конечно. Так исторически сложилось, и никто не готов ломать устоявшуюся схему.
Кстати, когда делали анализ рынка, в большинстве "импортозамещенных" решений для контроля выхода в интернет унутре обычный squid.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

56. Сообщение от Аноним (57), 05-Авг-25, 10:23 –1 +/–

Просто нормальным провайдером надо пользоваться, которые не выпендриваются!
В Москве и Санкт-Петербурге понятно что таких не будит, в таких случаях хотя бы обход DPI на роутер установи.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #68

57. Сообщение от Аноним (57), 05-Авг-25, 10:29 +/–

> "+15... к белой ЗП от средней по рынку"
Норм, за эти деньги же можно свой бесправный VPN поднять же.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

58. Сообщение от Аноним (58), 05-Авг-25, 11:11 +1 +/–

Шёл 2025 год. Анонимные аналитики продолжали публиковать новости двухлетней давности.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

59. Сообщение от Аноним (-), 05-Авг-25, 11:27 +/–

А без MitM оно вообще зачем? Как фильтровать https (SSL) трафик будет?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #61, #67

60. Сообщение от Аноним (60), 05-Авг-25, 12:34 +1 +/–

Можете более понятными терминами объяснить?  Я не понял.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

61. Сообщение от User (??), 05-Авг-25, 13:05 +/–

> А без MitM оно вообще зачем? Как фильтровать https (SSL) трафик будет?
"Во-первых, это красиво..."(С)
Как-как - да никак. Прикрутили к кальмару вот ufdbguard без купленной подписки, логи проксюка в эластик для поибэ скинули - да и отчитались за реализацию проекта, делов-то?
Проект был? Был. Реализован? Реализован. Что-то там фильтрует? Ну да. Вот даже протокол прохождения ПСИ в секретном шкафу лежит. А то, что ничего полезного оно при этом вот не делает - так про то ж речи и не было никогда... Такова парадигма.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

62. Сообщение от Аноним (62), 05-Авг-25, 13:34 +/–

>фильтрацию dstdomain можно сделать только в squid
не фанат l3 микротика, но там это давно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #74

63. Сообщение от Аноним (63), 05-Авг-25, 13:44 +/–

> и массового перехода на SSL, какие юзкейзы остались?
так ломайте ssl то

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #76

64. Сообщение от Аноним (63), 05-Авг-25, 13:45 +/–

> сидят на мобиле давно.
а вот и всё, нет больше такого

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

65. Сообщение от Аноним (65), 05-Авг-25, 13:55 +/–

Когда сайт с 2мя картинки загружается 10 секунд на 1 гигабите, тут не http/3 надо, а выкинуть всех веб-мак.к на помойку вместе со всеми их " технологиями".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

66. Сообщение от пох. (?), 05-Авг-25, 15:17 +/–

> с каскадной синхронизацией политик вниз, керберос-аутентификацией и фильтрацией контента
Уот! А не это ваше вот полуподвальное!
> Но без mitm'а
ну, чисто теоретически, для корп-решения без претензий на сертификации - сойдет. (а если ограничиться небольшим белым списком - то и для рабочих задач сгодится)
и да, при этом твои данные хотя бы не уплывут налево
P.S. А могли бы - могли бы - поддержать отечественного производителя: https://habr.com/ru/companies/solarsecurity/news/925232/ (откуда там 5 в карме - при нулевом рейтинге и нуле комментариев - загадка хабра, ога)
Не исключено что там тоже сквид внутре, но учоные скрывают.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #70

67. Сообщение от пох. (?), 05-Авг-25, 15:21 +/–

> А без MitM оно вообще зачем? Как фильтровать https (SSL) трафик будет?
банальный белый список, например? Ну зачем сотруднику сибура - ютруп в рабочее время?
(к чему именно там строится туннель - сквид, разумеется, знает)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

68. Сообщение от пох. (?), 05-Авг-25, 15:35 +/–

> Просто нормальным провайдером надо пользоваться, которые не выпендриваются!
> В Москве и Санкт-Петербурге понятно что таких не будит, в таких случаях
> хотя бы обход DPI на роутер установи.
Товарищмайёр!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #69

69. Сообщение от 1 (??), 05-Авг-25, 16:32 +/–

Ну он же будет из самого доверенного источника !

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

70. Сообщение от User (??), 05-Авг-25, 17:24 +/–

> P.S. А могли бы - могли бы - поддержать отечественного производителя: https://habr.com/ru/companies/solarsecurity/news/925232/
> (откуда там 5 в карме - при нулевом рейтинге и нуле
> комментариев - загадка хабра, ога)
> Не исключено что там тоже сквид внутре, но учоные скрывают.
Если не путаю - в процессе замены на ngfw от user gate, аж в "аппаратном исполнении", у которого "ни сантиметра opensource'ного наружу не торчит!" (но это не точно)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

71. Сообщение от Аноним (-), 05-Авг-25, 18:46 +/–

> Извиняюсь, nscache, это кеширование DNS, а не трафика.
Это как бы здорово другое. Ибо одно дело - качнуть пакет N мегов 1 раз и другое - M раз.
> Трафик он, действительно кешировать не умеет, не знал.
> Значит не во всём лучше.
Ну вот как-то так, он скорее универсал на все оказии. Забавен фичами "коммутации", чайнинга прокси и проч. Но замена squid? ORLY?
> Хотя в наше время сомнительная функциональность.
А в чем проблема кешировать пакеты дистро для допустим ребилда образов, VM и групповых апдейтов всех N машин оптом и быстро? Apt по http по дефолту качает - ибо подписи же, хрен подделаешь пакет, даже если и MITM. А вот кеширование как раз работает на отлично.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

72. Сообщение от Аноним (-), 05-Авг-25, 18:57 +/–

> Слушай, 3proxy был написан 3APA3A где-то в конце 90ых-начале 00ых, отсюда и
Субъективно у этого проекта...
1) Дофига фич. Иногда прикольных. Но...
2) С документацией (даже на русском) - ужасный отстой.
3) Поэтому пока оно заработает, тем более как надо, упаси боже если в продвинутой конфиге, можно спятить ненароком.
4) И код читать - я пробовал. Он у него - довольно ужасен, имхо.
> Windows-1251 в документации
Автор, вероятно, был убежденный маздаец. И весь секрет.
> Сейчас в шоке обнаружив, что он поддерживает и обновляет 3proxy. А доки
> видимо так и не трогал
Экспертиза опеннета блин. Везде облапошить пытаются. Я апдейтнул гит этой штуки и обнаружил что автор подозревать что-то стал. Например в 5a89997d6eb2e7e1561f8019e8b7978695105051
> Если честно, то я думал, что и продукт давно заморожен, и сам
> 3APA3A уже покинул этот мир, не видел его года с 2000го примерно
Ну хз, комиты вроде довольно свежие. Так что слухи о смерти автора или проекта были сильно преувеличены.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

73. Сообщение от RHEL fan (?), 06-Авг-25, 22:52 +/–

Угу, в той сурикате ссл бампинг прикрутить ещё надо постараться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

74. Сообщение от RHEL fan (?), 06-Авг-25, 23:00 +/–

Л3 про домены ничего не знает, поэтому ресолвит их и фильтрует по ip. Некоторые нгфв смотрят в днс трафик и берут ip оттуда, но фильтруют в итоге все равно по ip.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

75. Сообщение от RHEL fan (?), 06-Авг-25, 23:09 +/–

А Authority Key Identifier он в поддельные сертификаты умеет вставлять? Много софта в последнее время на эго отсутствие ругается, приходится бампинг выключать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

76. Сообщение от Аноним (76), 07-Авг-25, 11:00 +/–

А нельзя взять и сделать unwrap SSL-а в обычный HTTP или элементарно подменять секртификат между пользователем и кешем. В чем проблема?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 04-Авг-25, 10:51	+6 +/–
Ну такое.. В 90е и ранние 2000е оно понятно зачем было нужно, но еле развивалось. C 2.4 до 2.6 вечность прошла без особых фич. Адблокеры и прочее внешними плагинами, очень неудобно. А сейчас версии клепают, но кто его еще использует? После появления http/2 и массового перехода на SSL, какие юзкейзы остались? Для контроля доступа корпоративных пользователей сейчас есть куда более функциональные и удобные решения, а "ускорение" интернета в 2025 сквид дать явно не может - когда страницы это "приложения", завязанные на постоянные запросы к серверу для реализации внутренней логики, для ускорения нужен HTTP/3 (которого тут нет), а не дополнительные промежуточные прослойки.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4, #5, #11, #20, #23, #24, #55, #65

2. Сообщение от Жироватт (ok), 04-Авг-25, 10:53	+8 +/–
> Удалён... удалён... прекращена... удалён... убран доступ... Хм
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #25

3. Сообщение от Аноним (57), 04-Авг-25, 11:03	–2 +/–
теперь точно точно стабилен
Ответить \| Правка \| Наверх \| Cообщить модератору

4. Сообщение от nikweter (?), 04-Авг-25, 11:16	+1 +/–
А какие решения для контроля доступа есть?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #6, #63

5. Сообщение от Жироватт (ok), 04-Авг-25, 11:25	–3 +/–
Ну почему - на джвух последних местах работы с его помощью до сих пор по AD траффик шейпят. Удобно. Плюс безопасники/кадровики статистику снимают, кто и где сидит. Не знаю, по поводу безопасников, но тупоголовых Леночек с векашечками и ютюпчиками уже пару лет как штрафуют и увольняют.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #14, #21, #29, #38

6. Сообщение от Аноним (6), 04-Авг-25, 11:25	+1 +/–
ngfw
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #17

7. Сообщение от Аноним (7), 04-Авг-25, 11:26	+/–
Как у него с websocket сейчас? В предыдущих версиях с ssl-bump ничего не работало.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #8

8. Сообщение от Аноним (8), 04-Авг-25, 11:35	+/–
Сейчас работает.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #75

9. Сообщение от Аноним (9), 04-Авг-25, 11:39	+/–
Socks5 когда завезут?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #12

10. Сообщение от Аноним (-), 04-Авг-25, 11:40	–6 +/–
Предыдущая новость про squid была 12.10.2023 В прокси-сервере Squid выявлено 55 уязвимостей, 35 из которых пока не исправлены opennet.ru/opennews/art.shtml?num=59915 Оно все такое же дырявое как раньше? Или они решили латать дыры удалением функциональности?)
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #58

11. Сообщение от penetrator (?), 04-Авг-25, 11:55	+7 +/–
ты забываешь что это вполне годный прокси с поддержкой TLS и аутенфикацией клиентов никогда его не юзал для кеша, а как проксю регулярно > для ускорения нужен HTTP/3 смешно
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

12. Сообщение от penetrator (?), 04-Авг-25, 11:55	+/–
sockd не хватает?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

13. Сообщение от зомбированный (?), 04-Авг-25, 11:59	+3 +/–
Основные новшества Squid 7: Удалена ... Убран ... Удалена ... Удален ... Удалена ... Прекращена ... Удаленs ...
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #16, #18, #19

14. Сообщение от Вы забыли заполнить поле Name. (?), 04-Авг-25, 12:10	+4 +/–
Врёшь ты. Леночки сидят на мобиле давно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #15, #64

15. Сообщение от Жироватт (ok), 04-Авг-25, 12:29	+1 +/–
> Леночки сидят на мобиле давно. ...с вайфая, да. Им свой симочный трафик жалко
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #33, #39

16. Сообщение от 1 (??), 04-Авг-25, 12:34	+/–
Главное, чтоб ничего нового (всё ломающего не завезли). Как вспомнишь непомук с аконадемб так сразу спасибо хочется сказать. Что задвинул тогда этот гном.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #34

17. Сообщение от nikweter (?), 04-Авг-25, 13:02	+/–
Ссылку можно? А то в гугля либо какие-то платные штуки, либо абстрактный класс ПО.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #49, #51

18. Сообщение от DaRoni (ok), 04-Авг-25, 13:10	+/–
в посте изменения только для версий 7.1, если смотреть всю ветку 7 изменений много. Changes in squid-7.0.2 (19 Jun 2025): - Bug 5352: Do not get stuck in RESPMOD after pausing peer read(2) - Bug 5316: Release note says version 6 still for testing - Bug 5489: Fix "make check" linking on Solaris - Do not duplicate received Surrogate-Capability in sent requests - Fix GCC v13 LTO build [-Walloc-size-larger-than=] - Fix OpenSSL build with GCC v15.1.1 [-Wformat-truncation=] - Fix tls-dh support for DHE parameters with OpenSSL v3+ - Fix SNMP cacheNumObjCount -- number of cached objects - Fix Mem::Segment::open() stub to fix build without shm_open() - Disable EUI when arpreq is missing and cannot be defined - MinGW: use nameless unions in ext_ad_group_acl - MinGW: do not build ext_edirectory_userip_acl - MinGW: add mkdir adapter - MinGW: fix store/Controller.cc build - MinGW: fix aio compatibility layer - MinGW: add libnettle to negotiate_sspi_auth - negotiate_sspi_auth: Fix command debugging (-v) - ntlm_sspi_auth: Fix missing base64 symbol linkage - ... and many portability and compatibility fixes - ... and some code cleanup Changes in squid-7.0.1 (2 Feb 2025): - Remove Edge Side Include (ESI) protocol - Remove Ident protocol support - Remove cache_object protocol support - Remove cachemgr.cgi tool - Remove tool 'purge' for management of UFS/AUFS/DiskD caches - Remove squidclient - Remove disabled classful networks code - Remove dead Multicast Miss Stream feature - Remove broken and disabled icpPktDump() - Remove deprecated string memory pools API - Remove dead "binary HTTP header logging" code (-DHEADERS_LOG) - Rename --with-gnugss to --with-gss - Remove krb5_get_max_time_skew portability hack - Remove PRIuSIZE macro - Remove ADD_X_REQUEST_URI - Bug 5390: Non-POD SquidConfig::ssl_client::sslContext exit crash - Bug 5363: Handle IP-based X.509 SANs better - Bug 5383: handleNegotiationResult() level-2 debugs() crash - Bug 5449: Ignore SP and HTAB chars after chunk-size - Bug 5428: Warn if pkg-config is not found - Bug 5293: Security::CreateClientSession uses wrong TLS options - Bug 5417: An empty annotation value does not match - Bug 5322: Do not leak HttpReply when checking http_reply_access - Bug 5329: cbdata.cc:276 "c->locks > 0" assertion on reconfigure - Bug 5119: Null pointer dereference in makeMemNodeDataOffset() - Bug 5254, part 1: Do not leak master process' cache.log to kids - Bug 5312: Startup aborts if OPEN_MAX exceeds RLIMIT_NOFILE - Bug 4156: comm.cc "!commHasHalfClosedMonitor(fd)" assertion - ext_time_quota_acl: restore debug level feature and argument - ext_ad_group_acl: fix dependency detection - ext_time_quota_acl: convert to c++ - scripts/find-alive.pl: Auto-detect auto-added ctors/dtors names - negotiate_wrapper_auth: protect from responses over 64KB - negotiate_kerberos_auth: Support Kerberos PAC-ResourceGroups - pinger: improve timer accuracy and resolution - testheaders.sh: force-remove temporary files - squid-conf-tests: Ignore tests with mismatching autoconf macro - MinGW: Emulate fsync - MinGW: fix winsock dependency issues - MinGW-w64: enable native file locking - Windows: Drop obsolete WinSock v1 library - Windows: Improve PSAPI.dll detection - basic_sspi_auth: MinGW build fixes - HTTP: Protect just-parsed responses from accidental destruction - WCCP: fix inverted range check - Y2038: Fix cache_peer connect-timeout reporting - Y2038: Use time_t for commSetConnTimeout() timeout parameter - Work around some mgr:forward accounting/reporting bugs - Fix: Ftp::Gateway may segfault in level-3 double-complete debugs() - Do not mark successful FTP PUT entries with ENTRY_BAD_LENGTH - Fix ENTRY_ABORTED assertion in sendClientOldEntry() - Limit Server::inBuf growth - Reject config with unknown directives before committing to it - Fix and redefine meaning of total peering time (%<tt) - Fix use-after-free in peerDigestFetchReply() - Fix use-after-free in statefulhelper::submit() level-9 debug - Fix PeerDigest lifetime management - Fix Tokenizer::int64() parsing of "0" when guessing base - Fix SMP mgr:userhash, mgr:sourcehash, and mgr:carp reports - Fix reporting of unrecognized directives - Do not blame cache_peer for CONNECT errors - Fix heap buffer overead in ConfigParser::UnQuote() - Do not die when parsing obsolete log_access and log_icap - Extend in-use ACLs lifetime across reconfiguration - Fix MemObject.cc:123: "!updatedReply_" assertion - Avoid UB when packing a domain name - Fix qos_flows confguration reporting - Fix and improve annotation reporting - Fix configuration crashes on malformed sslproxy_* directives - Avoid UB when copying AnyP::Uri - Fix and improve html_quote() - Fix acl annotate_transaction reporting in mgr:config - Fix ipv4 and expand ipv6 ACL parameter matching - Fix Controller.cc TheRoot assertion during shutdown - Fix Comm::TcpAcceptor::status() reporting of listening address - Fix performance regressions with fastCheck() result copying - Fix handling of zero cache_peers - Fix cbdata assertion in carpInit() - Fix: REQMOD stuck when adapted request (body) is not forwarded - Fix rock/RockSwapDir.cc "slot->sameKey()" assertion - Fix dupe handling in Splay ACLs: src, dst, http_status, etc. - Protect ACLFilledChecklist heap allocations from leaking - Stop leaking PeerDigests on reconfiguration - Handle helper program startup failure as its death - Kill helpers that speak without being spoken to - annotate_client and annotate_transaction ACLs must always match - Restrict squid.conf preprocessor space characters to SP and HT - Drop helpless helper requests - Improve Tunnel Server RESPONSE dumps - Do not lookup IP addresses of X509 certificate subject CNs - Report cache_peer context in probe and standby pool messages - Treat responses to collapsed requests as fresh - Do not TLS close_notify when resetting a TCP connection - Simplified quick_abort_pct code and improved its docs - Update HTTP status codes - Report all refreshCheck() outcomes and entry gist - Prohibit bad --enable-linux-netfilter combinations - Use ERR_ACCESS_DENIED for HTTP 403 (Forbidden) errors - Scaffolding for YAML-formatted cache manager reports - Improve ErrorState debugging - Stop zeroing huge memAllocBuf() buffers - Enable EDNS for DNS A queries and reverse IPv4 lookups - Format mgr:pconn as YAML - Use ERR_READ_ERROR for read-from-client I/O errors - Use AnyP::Uri::Decode() for urllogin and url_regex checks - Throw, not self_destruct(), on qos_flow configuration errors - Add %byte{value} logformat code for logging or sending any byte - Do not report bogus/empty SMP cache_dir indexing stats - Report/abort on any catastrophic rock cache_dir indexing failure - Recognize internal requests created by adaptation/redirection - Log %err_code for ERR_RELAY_REMOTE transactions - Restore errno in %err_detail for ERR_CONNECT_FAIL - Report all AsyncJob objects (mgr:jobs) - Cover OnTerminate() calls unrelated to exception handling - Keep ::helper objects alive while in use by helper_servers - Add SQUID_CHECK_LIB_WORKS autoconf macro - Reject more CONNECT requests with malformed targets - Forget non-peer access details - Do not report DNS answers without A/AAAA records by default - Destroy an idle PeerDigest after its CachePeer disappears - Do not apply custom debugs() format to Debug::Extra lines - Do not check store_status when checking ENTRY_BAD_LENGTH - Add buffered_logs OFF support to UDP logger - ... and many documentation improvements - ... and many portability and compatibility fixes - ... and many code cleanups - ... and improvements to unit tests - ... and some error page translation improvements - ... and all fixes from 6.13
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

19. Сообщение от Аноним (19), 04-Авг-25, 13:49	+1 +/–
Хорошо же наоборот. Челы понимают, чем опасен scope creep. Иначе получится второе кэдэйэ.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #60

20. Сообщение от Аноним (-), 04-Авг-25, 13:50	+/–
> После появления http/2 и массового перехода на SSL, какие юзкейзы остались? MitM всего трафика и 1. Блокировка по полным URL 2. Правка http на лету, вырезка вирей, ... 3. Изменение на лету всех http заглавий нам правильные и нужные 4. Проверка на вирусы 5. Контроль доступа в интернет, статистика использования по пользователям, ....
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

21. Сообщение от хехмда (?), 04-Авг-25, 13:51	+13 +/–
Сидим всей конторой на Ютубе, никаких проблем с офисным каналом трафиком не наблюдается. Может вам лечить шизу а не людей увольнять?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #54

22. Сообщение от Голдер и Рита (?), 04-Авг-25, 14:37	–5 +/–
Думал, что Squid 🐙 уже на свалке, а HAProxy с Nginx полностью закрывают все потребности юзеров.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #26, #37

23. Сообщение от Tron is Whistling (?), 04-Авг-25, 14:41	+1 +/–
Ну как какие юзкейсы. MITM с подменным корпоративным сертификатом.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #27

24. Сообщение от Nureke (?), 04-Авг-25, 14:53	–1 +/–
А вот firewall фильтрует только по ip-адресам и маске. а фильтрацию dstdomain можно сделать только в squid. Настроить обновление своего парка домашних серверов только с разрешенных серверов и спать спокойно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #62

25. Сообщение от Аноним (25), 04-Авг-25, 15:36	+/–
зачистка старья?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

26. Сообщение от Аноним (26), 04-Авг-25, 15:37	+/–
Но нет. Для всякого инструмента есть своя область применения, в том числе для сквида. Попробуй для развлечения Касперского к Хапроксе или Nginx подключить для антивирусного мониторинга трафика.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22

27. Сообщение от нах. (?), 04-Авг-25, 16:21	+/–
в подвале из трех человек, угу. У остальных обычно таки что-то специально для этой цели предназначенное, а не васян-поделка-зато-забесплатная.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23 Ответы: #30, #43

28. Сообщение от Ilya Indigo (ok), 04-Авг-25, 16:35	+/–
Этот сквирт до сих пор не поддерживает из коробки socks5? 3proxy лучше абсолютно во всём, как 20 лет назад, так и сейчас!
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #32

29. Сообщение от Аноним (29), 04-Авг-25, 16:38	+2 +/–
> безопасники/кадровики статистику снимают, кто и где сидит > Леночек с векашечками и ютюпчиками уже пару лет как штрафуют и увольняют. Зачем в таких местах люди работают, если навалом мест без этого вот вахтёрства?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #52

30. Сообщение от Аноним (30), 04-Авг-25, 16:39	+/–
Угу, суриката называется. Выбор есть только между squid и сурикатой.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #27 Ответы: #73