Первый стабильный релиз новой ветки прокси-сервера Squid 3.1

01.04.2010 00:23

После двух лет тестирования вышел первый стабильный релиз прокси-сервера Squid 3.1.1, который по заявлению разработчиков готов для промышленного использования.

Прошлая стабильная ветка объявлена неподдерживаемой, кроме выпущенного 14 марта релиза 3.0.STABLE25 больше обновлений выпускаться не будет. В настоящий момент усилия разработчиков направлены на развитие ветки Squid 3.2, в ветке 3.1 отныне будут производиться только исправления уязвимостей и проблем со стабильностью, также допускается внесение небольших оптимизаций.

Наиболее интересные новшества Squid 3.1:

Поддержка транзитной NTLM-аутентификации, может применяться для проксированных соединений к серверу с использованием Microsoft Integrated Login;
Полностью интегрированная поддержка IPv6. IPv6 теперь поддерживается для всех систем и включен по умолчанию;
Добавление средств для управления качеством сервиса (QoS) для исходящего трафика в зависимости от наличия данных в кэше (управление через директиву qos_flows);
Встроенная поддержка хранения кэша в ОЗУ;
Реализация фильтров для SSL-трафика, при трансляции SSL-соединений через Squid (трафик декриптуется, проверяется на предмет действия ACL, шифруется и отдается клиенту);
Поддержка TProxy v4.1+ патчей к Linux ядру, позволяющих организовать прозрачный перехват и перенаправление через прокси IPv4 и IPv6 HTTP-запросов;
Поддержка подключения eCAP-модулей, по сравнению с ICAP производительность возрастает примерно на 20%;
Поддержка локализации страниц c выводимыми пользователям ошибками;
Поддержка следования HTTP-заголовку X-Forwarded-For;
Возможность указывания в ACL имени Peer-а и передачи внешним обработчикам ACL заголовков с ответом клиента;
Поддержка ведения лога для ICAP и eCAP пересылок;
Поддержка подключения одновременно нескольких ICAP и eCAP сервисов в рамках одной управляющей транзакции;
Поддержка проксирования SHOUTcast (ICY) медиа-потоков (интернет-радио);
Полная поддержка HTTP/1.1 для соединений с web-серверами и peer-ами, включая формирование chunked-запросов.

исправить +5 +/–

Главная ссылка к новости (http://marc.info/?l=squid-anno...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/26039-squid

Ключевые слова: squid, proxy

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (24)

1.1, Аноним (-), 00:50, 01/04/2010 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Поддержка IPv6 отключается только пересборкой с --disable-ipv6 ?

2.2, uldus (ok), 00:52, 01/04/2010 [^] [^^] [^^^] [ответить]	–1 +/–
>Поддержка IPv6 отключается только пересборкой с --disable-ipv6 ? Да, по умолчанию с IPv6 собирается :-(

3.3, Аноним (-), 00:54, 01/04/2010 [^] [^^] [^^^] [ответить]	–1 +/–
Когда сделают возможность отключать IPv6 в конфиге?

4.10, rm_ (ok), 09:45, 01/04/2010 [^] [^^] [^^^] [ответить]	+/–
Вот ведь как бывает - кто-то уже давно ставит 3.1 из debian-experimental как раз ради IPv6, а кто-то до сих пор ищет, как его отключить. :)

5.19, sHaggY_caT (ok), 13:05, 02/04/2010 [^] [^^] [^^^] [ответить]

+1 +/–

В ipv6 стеке потенциально есть большое число уязвимостей, так как он никем не используется, и даже при этом уязвимости уже находили.

Пока он не применяется повсеместно, я тоже где можно его отключаю даже в кикстарте сервера еще при установке, в любых сервисах где это возможно, на всякий случай.

Когда начнет применятся повсеместно, и когда с десяток страшных ремотных дырок, имхо, его можно будет начинать использовать :)

5.20, Gra2k (ok), 23:54, 02/04/2010 [^] [^^] [^^^] [ответить]	+/–
Ну все правильно, кому то ип6 нафиг не нужен, ибо некуда маршрутизировать - исп не все его поддерживают.

6.22, rm_ (ok), 07:21, 03/04/2010 [^] [^^] [^^^] [ответить]	+/–
>Ну все правильно, кому то ип6 нафиг не нужен, ибо некуда маршрутизировать >- исп не все его поддерживают. Мой ISP его тоже не поддерживает, и что дальше?) Будто без этого нельзя получить IPv6. :) Дабы не заподозрили что пиарю _свой_ сайт, дам ссылку на ту же самую инфу на стороннем ресурсе: http://habrahabr.ru/blogs/p2p/53625/

1.4, linux4ever (?), 03:28, 01/04/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>Поддержка следования HTTP-заголовку X-Forwarded-For Не понял. Он же по дефолту не анонимный.

2.18, PavelR (??), 19:58, 01/04/2010 [^] [^^] [^^^] [ответить]	+/–
Что вообще значит - "Поддержка следования HTTP-заголовку X-Forwarded-For" ?? Поясните, пожалуйста, кто знает ?

3.21, Gra2k (ok), 00:00, 03/04/2010 [^] [^^] [^^^] [ответить]	+/–
>Что вообще значит - "Поддержка следования HTTP-заголовку X-Forwarded-For" ?? Поясните, пожалуйста, кто >знает ? Показывает веб серверу не ип прокси, а ип адресс клиента. Грубо говоря такое поле куда пишется реальный ипишник клиента подключившегося к прокси, актуально когда у клиентов белые ип и их много.

4.23, PavelR (??), 09:56, 03/04/2010 [^] [^^] [^^^] [ответить]	+/–
>>Что вообще значит - "Поддержка следования HTTP-заголовку X-Forwarded-For" ?? Поясните, пожалуйста, кто >>знает ? > >Показывает веб серверу не ип прокси, а ип адресс клиента. Грубо говоря >такое поле куда пишется реальный ипишник клиента подключившегося к прокси, актуально >когда у клиентов белые ип и их много. Я понимаю для чего веб-серверу этот заголовок. Но что значит "поддержка следования" и каким образом это поле используется в _прокси_ сервере ?

5.24, reader (ok), 18:17, 05/04/2010 [^] [^^] [^^^] [ответить]	+/–
squid может изменять этот заголовок и если я правильно понял, теперь он может туда прописывать свой ip вместо клиентского

6.26, Mikula (?), 09:43, 07/04/2010 [^] [^^] [^^^] [ответить]	–1 +/–
>теперь он может туда прописывать свой ip вместо клиентского Всегда умел. Не то...

3.25, Andrey Mitrofanov (?), 18:28, 05/04/2010 [^] [^^] [^^^] [ответить]	+/–
>Что вообще значит - "Поддержка следования HTTP-заголовку X-Forwarded-For" В ReleaseNotes-ах по ссылке написано же. Про опцию follow_x_forwarded_for. Которую "творчески" перевели на родной и могучий. Ничего сногсшибательного -- чего-то там в носу, в ACL-ях то есть.

1.5, Elenium (ok), 04:47, 01/04/2010 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
как же много вкусностей )))

1.6, luzers (?), 08:30, 01/04/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
а для деба-убунты пакетики где раздают?

1.7, неизвестный (?), 08:42, 01/04/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
"cache_dir null ..." не поддерживается

2.9, Sw00p aka Jerom (?), 09:10, 01/04/2010 [^] [^^] [^^^] [ответить]	+/–
если имеете ввиду отключения кеша то можно использовать cache deny all

3.13, zazik (ok), 11:02, 01/04/2010 [^] [^^] [^^^] [ответить]	+/–
Но ведь это просто запрет кэширования, а не отказ от хранилища на диске, не?

3.17, неизвестный (?), 15:22, 01/04/2010 [^] [^^] [^^^] [ответить]

+/–

в squid 3.0 у меня написано так:

no_cache deny all
cache_dir null /tmp

а в squid 3.1 (cache_dir null /tmp не будет работать). как отказаться от хранилища для кэша?

4.27, Дмитрий (??), 11:46, 15/02/2011 [^] [^^] [^^^] [ответить]	+/–
'null' storage type dropped. In-memory cache is always present. Remove all cache_dir options to prevent on-disk caching.

1.8, Macil (?), 08:46, 01/04/2010 [ответить] [﹢﹢﹢] [ · · · ]

+/–

>Реализация фильтров для SSL-трафика

Дожили, млин. Ругани же будет в браузерах...

Интересно, а можно сквид заставить "на лету" делать сертификаты с правильным Subject'ом? Правда все-равно придется на клиентские машины ставить сертификат ЦС, но это решаемо.

ЗЫ: TLS-ная аутентификация клиента спасет человечество.

1.11, netc (ok), 09:48, 01/04/2010 [ответить] [﹢﹢﹢] [ · · · ]

+/–

>Поддержка транзитной NTLM-аутентификации, может применяться для проксированных >соединений к серверу с использованием Microsoft Integrated Login;

может кто подскажет что бы это могло значить ?

настройка NTLM аутентификации на сервере с squid 3.1 будет проще ?

2.12, SubGun (ok), 10:24, 01/04/2010 [^] [^^] [^^^] [ответить]	+/–
Это офигенная штука. Наконец-то будет нормально коннектиться к IIS.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: