
HTTPS через прокси без иллюзий: зачем компаниям Squid и почему allow all — это песочница, а не прод
Lord_3D 13 минут назад HTTPS через прокси без иллюзий: зачем компаниям Squid и почему allow all — это песочница, а не прод Простой 5 мин 313 Блог компании Okko Кейс HTTP-прокси вспоминают в двух случаях: когда сервису...
<5 — 2026'da uzaya kaç SpaceX Starship fırlatması ulaşacak?
В сфере искусственного интеллекта произошло заметное событие. Lord_3D 13 минут назад HTTPS через прокси без иллюзий: зачем компаниям Squid и почему allow all — это песочница, а не прод Простой 5 мин 313 Блог компании Okko Кейс HTTP-прокси вспоминают в двух случаях: когда сервису нужно вывести наружу строго ограниченный трафик или когда инцидент уже случился и нужно понять, кто и куда ходил. Первый вариант дешевле. Меня зовут Саша Скоков, я блогер, инженер группы сопровождения системной инфраструктуры в ОККО и в этой статье разберу, как работает Squid в проде.
Что такое Squid и зачем нужен проксиПредставьте, есть серверы, сервисы и внутренние контуры, которым нужен доступ к внешнему миру. Это может быть документация, публичные API, чаты, репозитории пакетов, внешние SaaS-сервисы или обновления. Давать всем прямой выход в интернет неудобно и небезопасно.
Технические детали
Проще поставить между внутренней сетью и внешними ресурсами управляемый прокси. Прокси в таком сценарии становится точкой контроля. Через него можно разрешать и запрещать походы вовне, писать журналы событий, смотреть статистику, вводить белые и черные списки, а при необходимости строить каскад из нескольких прокси, расположенных в разных регионах или странах.
Выбрать для этой роли можно прокси-сервер Squid — старый, понятный и все еще живой инструмент для веб-проксирования и кэширования. К тому же, с открытым исходным кодом и гибкими настройками. Squid получает запрос от клиента, применяет правила и передаёт запрос дальше.
Сила Squid в том, что правила можно описывать довольно гибко: по IP-адресам, доменам, портам, методам, URL, внешним ACL-проверкам и другим признакам. Для инфраструктурных задач этого часто достаточно: например, разрешить серверам ходить только к нужным доменам, закрыть всё лишнее и оставить журнал действий. Стартовая конфигурацияСтартовая конфигурация выглядит просто:Быстрый запуск Squid в докереМинимальный squid.
Отраслевые последствия
conf тоже помещается в несколько строк:Минимальная конфигурация Http Proxy сервера SquidЭта конфигурация хороша для первого запуска и плоха для реальной эксплуатации. http_access allow all превращает прокси в открытый проход. В продакшене с этого обычно начинают исправление: сначала задают ACL, затем разрешают только нужные сети и направления, потом явно запрещают остальное.
Белые списки SquidФайл /etc/squid/allowed_domains. txt может содержать домены по одному на строку:. comТакой подход проще поддерживать, чем длинный конфиг на сотни строк.
Команда сопровождения меняет список доменов, а базовая политика остается прежней: разрешено только то, что явно нужно. Правила доступаВ обычном режиме прокси не читает содержимое защищенного соединения. Клиент просит установить туннель к внешнему серверу через CONNECT, а Squid передает трафик дальше как TCP-посредник.
Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.





