Представлен стабильный релиз прокси-сервера Squid 7.1, готовый для использования в рабочих системах (выпуски 7.0.x имели статус бета-версий). После придания ветке 7.x статуса стабильной, в ней отныне будут производиться только исправления уязвимостей и проблем со стабильностью, также допускается внесение небольших оптимизаций. Разработка новых возможностей будет производиться в новой экспериментальной ветке 8.0. Пользователям прошлой стабильной ветки 6.x рекомендуется спланировать переход на ветку 7.x...Подробнее: https://www.opennet.me/opennews/art.shtml?num=63676
Ну такое.. В 90е и ранние 2000е оно понятно зачем было нужно, но еле развивалось. C 2.4 до 2.6 вечность прошла без особых фич. Адблокеры и прочее внешними плагинами, очень неудобно. А сейчас версии клепают, но кто его еще использует?После появления http/2 и массового перехода на SSL, какие юзкейзы остались?
Для контроля доступа корпоративных пользователей сейчас есть куда более функциональные и удобные решения, а "ускорение" интернета в 2025 сквид дать явно не может - когда страницы это "приложения", завязанные на постоянные запросы к серверу для реализации внутренней логики, для ускорения нужен HTTP/3 (которого тут нет), а не дополнительные промежуточные прослойки.
А какие решения для контроля доступа есть?
ngfw
Ссылку можно? А то в гугля либо какие-то платные штуки, либо абстрактный класс ПО.
Ну почему - на джвух последних местах работы с его помощью до сих пор по AD траффик шейпят. Удобно.
Плюс безопасники/кадровики статистику снимают, кто и где сидит. Не знаю, по поводу безопасников, но тупоголовых Леночек с векашечками и ютюпчиками уже пару лет как штрафуют и увольняют.
Врёшь ты.Леночки сидят на мобиле давно.
> Леночки сидят на мобиле давно....с вайфая, да. Им свой симочный трафик жалко
Сидим всей конторой на Ютубе, никаких проблем с офисным каналом трафиком не наблюдается.Может вам лечить шизу а не людей увольнять?
ты забываешь что это вполне годный прокси с поддержкой TLS и аутенфикацией клиентовникогда его не юзал для кеша, а как проксю регулярно
> для ускорения нужен HTTP/3смешно
> После появления http/2 и массового перехода на SSL, какие юзкейзы остались?MitM всего трафика и
1. Блокировка по полным URL
2. Правка http на лету, вырезка вирей, ...
3. Изменение на лету всех http заглавий нам правильные и нужные
4. Проверка на вирусы
5. Контроль доступа в интернет, статистика использования по пользователям, ....
Ну как какие юзкейсы. MITM с подменным корпоративным сертификатом.
в подвале из трех человек, угу.У остальных обычно таки что-то специально для этой цели предназначенное, а не васян-поделка-зато-забесплатная.
А вот firewall фильтрует только по ip-адресам и маске. а фильтрацию dstdomain можно сделать только в squid. Настроить обновление своего парка домашних серверов только с разрешенных серверов и спать спокойно.
> Удалён... удалён... прекращена... удалён... убран доступ...Хм
зачистка старья?
теперь точно точно стабилен
Как у него с websocket сейчас? В предыдущих версиях с ssl-bump ничего не работало.
Сейчас работает.
Socks5 когда завезут?
sockd не хватает?
Предыдущая новость про squid была12.10.2023 В прокси-сервере Squid выявлено 55 уязвимостей, 35 из которых пока не исправлены
opennet.ru/opennews/art.shtml?num=59915Оно все такое же дырявое как раньше?
Или они решили латать дыры удалением функциональности?)
Основные новшества Squid 7:
Удалена ...
Убран ...
Удалена ...
Удален ...
Удалена ...
Прекращена ...
Удаленs ...
Главное, чтоб ничего нового (всё ломающего не завезли).
Как вспомнишь непомук с аконадемб так сразу спасибо хочется сказать. Что задвинул тогда этот гном.
в посте изменения только для версий 7.1, если смотреть всю ветку 7 изменений много.Changes in squid-7.0.2 (19 Jun 2025):
- Bug 5352: Do not get stuck in RESPMOD after pausing peer read(2)
- Bug 5316: Release note says version 6 still for testing
- Bug 5489: Fix "make check" linking on Solaris
- Do not duplicate received Surrogate-Capability in sent requests
- Fix GCC v13 LTO build [-Walloc-size-larger-than=]
- Fix OpenSSL build with GCC v15.1.1 [-Wformat-truncation=]
- Fix tls-dh support for DHE parameters with OpenSSL v3+
- Fix SNMP cacheNumObjCount -- number of cached objects
- Fix Mem::Segment::open() stub to fix build without shm_open()
- Disable EUI when arpreq is missing and cannot be defined
- MinGW: use nameless unions in ext_ad_group_acl
- MinGW: do not build ext_edirectory_userip_acl
- MinGW: add mkdir adapter
- MinGW: fix store/Controller.cc build
- MinGW: fix aio compatibility layer
- MinGW: add libnettle to negotiate_sspi_auth
- negotiate_sspi_auth: Fix command debugging (-v)
- ntlm_sspi_auth: Fix missing base64 symbol linkage
- ... and many portability and compatibility fixes
- ... and some code cleanup
Changes in squid-7.0.1 (2 Feb 2025):- Remove Edge Side Include (ESI) protocol
- Remove Ident protocol support
- Remove cache_object protocol support
- Remove cachemgr.cgi tool
- Remove tool 'purge' for management of UFS/AUFS/DiskD caches
- Remove squidclient
- Remove disabled classful networks code
- Remove dead Multicast Miss Stream feature
- Remove broken and disabled icpPktDump()
- Remove deprecated string memory pools API
- Remove dead "binary HTTP header logging" code (-DHEADERS_LOG)
- Rename --with-gnugss to --with-gss
- Remove krb5_get_max_time_skew portability hack
- Remove PRIuSIZE macro
- Remove ADD_X_REQUEST_URI
- Bug 5390: Non-POD SquidConfig::ssl_client::sslContext exit crash
- Bug 5363: Handle IP-based X.509 SANs better
- Bug 5383: handleNegotiationResult() level-2 debugs() crash
- Bug 5449: Ignore SP and HTAB chars after chunk-size
- Bug 5428: Warn if pkg-config is not found
- Bug 5293: Security::CreateClientSession uses wrong TLS options
- Bug 5417: An empty annotation value does not match
- Bug 5322: Do not leak HttpReply when checking http_reply_access
- Bug 5329: cbdata.cc:276 "c->locks > 0" assertion on reconfigure
- Bug 5119: Null pointer dereference in makeMemNodeDataOffset()
- Bug 5254, part 1: Do not leak master process' cache.log to kids
- Bug 5312: Startup aborts if OPEN_MAX exceeds RLIMIT_NOFILE
- Bug 4156: comm.cc "!commHasHalfClosedMonitor(fd)" assertion
- ext_time_quota_acl: restore debug level feature and argument
- ext_ad_group_acl: fix dependency detection
- ext_time_quota_acl: convert to c++
- scripts/find-alive.pl: Auto-detect auto-added ctors/dtors names
- negotiate_wrapper_auth: protect from responses over 64KB
- negotiate_kerberos_auth: Support Kerberos PAC-ResourceGroups
- pinger: improve timer accuracy and resolution
- testheaders.sh: force-remove temporary files
- squid-conf-tests: Ignore tests with mismatching autoconf macro
- MinGW: Emulate fsync
- MinGW: fix winsock dependency issues
- MinGW-w64: enable native file locking
- Windows: Drop obsolete WinSock v1 library
- Windows: Improve PSAPI.dll detection
- basic_sspi_auth: MinGW build fixes
- HTTP: Protect just-parsed responses from accidental destruction
- WCCP: fix inverted range check
- Y2038: Fix cache_peer connect-timeout reporting
- Y2038: Use time_t for commSetConnTimeout() timeout parameter
- Work around some mgr:forward accounting/reporting bugs
- Fix: Ftp::Gateway may segfault in level-3 double-complete debugs()
- Do not mark successful FTP PUT entries with ENTRY_BAD_LENGTH
- Fix ENTRY_ABORTED assertion in sendClientOldEntry()
- Limit Server::inBuf growth
- Reject config with unknown directives before committing to it
- Fix and redefine meaning of total peering time (%<tt)
- Fix use-after-free in peerDigestFetchReply()
- Fix use-after-free in statefulhelper::submit() level-9 debug
- Fix PeerDigest lifetime management
- Fix Tokenizer::int64() parsing of "0" when guessing base
- Fix SMP mgr:userhash, mgr:sourcehash, and mgr:carp reports
- Fix reporting of unrecognized directives
- Do not blame cache_peer for CONNECT errors
- Fix heap buffer overead in ConfigParser::UnQuote()
- Do not die when parsing obsolete log_access and log_icap
- Extend in-use ACLs lifetime across reconfiguration
- Fix MemObject.cc:123: "!updatedReply_" assertion
- Avoid UB when packing a domain name
- Fix qos_flows confguration reporting
- Fix and improve annotation reporting
- Fix configuration crashes on malformed sslproxy_* directives
- Avoid UB when copying AnyP::Uri
- Fix and improve html_quote()
- Fix acl annotate_transaction reporting in mgr:config
- Fix ipv4 and expand ipv6 ACL parameter matching
- Fix Controller.cc TheRoot assertion during shutdown
- Fix Comm::TcpAcceptor::status() reporting of listening address
- Fix performance regressions with fastCheck() result copying
- Fix handling of zero cache_peers
- Fix cbdata assertion in carpInit()
- Fix: REQMOD stuck when adapted request (body) is not forwarded
- Fix rock/RockSwapDir.cc "slot->sameKey()" assertion
- Fix dupe handling in Splay ACLs: src, dst, http_status, etc.
- Protect ACLFilledChecklist heap allocations from leaking
- Stop leaking PeerDigests on reconfiguration
- Handle helper program startup failure as its death
- Kill helpers that speak without being spoken to
- annotate_client and annotate_transaction ACLs must always match
- Restrict squid.conf preprocessor space characters to SP and HT
- Drop helpless helper requests
- Improve Tunnel Server RESPONSE dumps
- Do not lookup IP addresses of X509 certificate subject CNs
- Report cache_peer context in probe and standby pool messages
- Treat responses to collapsed requests as fresh
- Do not TLS close_notify when resetting a TCP connection
- Simplified quick_abort_pct code and improved its docs
- Update HTTP status codes
- Report all refreshCheck() outcomes and entry gist
- Prohibit bad --enable-linux-netfilter combinations
- Use ERR_ACCESS_DENIED for HTTP 403 (Forbidden) errors
- Scaffolding for YAML-formatted cache manager reports
- Improve ErrorState debugging
- Stop zeroing huge memAllocBuf() buffers
- Enable EDNS for DNS A queries and reverse IPv4 lookups
- Format mgr:pconn as YAML
- Use ERR_READ_ERROR for read-from-client I/O errors
- Use AnyP::Uri::Decode() for urllogin and url_regex checks
- Throw, not self_destruct(), on qos_flow configuration errors
- Add %byte{value} logformat code for logging or sending any byte
- Do not report bogus/empty SMP cache_dir indexing stats
- Report/abort on any catastrophic rock cache_dir indexing failure
- Recognize internal requests created by adaptation/redirection
- Log %err_code for ERR_RELAY_REMOTE transactions
- Restore errno in %err_detail for ERR_CONNECT_FAIL
- Report all AsyncJob objects (mgr:jobs)
- Cover OnTerminate() calls unrelated to exception handling
- Keep ::helper objects alive while in use by helper_servers
- Add SQUID_CHECK_LIB_WORKS autoconf macro
- Reject more CONNECT requests with malformed targets
- Forget non-peer access details
- Do not report DNS answers without A/AAAA records by default
- Destroy an idle PeerDigest after its CachePeer disappears
- Do not apply custom debugs() format to Debug::Extra lines
- Do not check store_status when checking ENTRY_BAD_LENGTH
- Add buffered_logs OFF support to UDP logger
- ... and many documentation improvements
- ... and many portability and compatibility fixes
- ... and many code cleanups
- ... and improvements to unit tests
- ... and some error page translation improvements
- ... and all fixes from 6.13
Хорошо же наоборот. Челы понимают, чем опасен scope creep. Иначе получится второе кэдэйэ.
Думал, что Squid 🐙 уже на свалке, а HAProxy с Nginx полностью закрывают все потребности юзеров.
Но нет. Для всякого инструмента есть своя область применения, в том числе для сквида. Попробуй для развлечения Касперского к Хапроксе или Nginx подключить для антивирусного мониторинга трафика.
Этот сквирт до сих пор не поддерживает из коробки socks5?
3proxy лучше абсолютно во всём, как 20 лет назад, так и сейчас!