
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


@font-face


        {font-family:"ＭＳ Ｐゴシック";


        panose-1:2 11 6 0 7 2 5 8 2 4;}


@font-face


        {font-family:"\@ＭＳ Ｐゴシック";}


@font-face


        {font-family:メイリオ;


        panose-1:2 11 6 4 3 5 4 4 2 4;}


@font-face


        {font-family:"\@メイリオ";}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0mm;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"ＭＳ Ｐゴシック";}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:#0563C1;


        text-decoration:underline;}


span.19


        {mso-style-type:personal-reply;


        font-family:メイリオ;


        color:windowtext;}


.MsoChpDefault


        {mso-style-type:export-only;}


@page WordSection1


        {size:612.0pt 792.0pt;


        margin:99.25pt 30.0mm 30.0mm 30.0mm;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026">


<v:textbox inset="5.85pt,.7pt,5.85pt,.7pt" />


</o:shapedefaults></xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="JA" link="#0563C1" vlink="#954F72">


<div class="WordSection1">


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">Dear Amos, Alex, Eliezer,<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">Thank you for your support.<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">Sorry for my low experience and knowledge…<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">Your comment is helpful for me, and could you let me know more about "note" ACL.<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">I can not understand it, even checking the website.<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">Q1. Could you let me know about “note” ACL?<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">Q2. If possible, sample config which is using(combined) “ext_kerberos_ldap_group_acl” and “tcp_outgoing_address” and “note ACL”.<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">Again, thanks for your support.<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">Best regards,<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">Kawai<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ"><o:p> </o:p></span></p>


<p class="MsoNormal"><b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif"> squid-dev <squid-dev-bounces@lists.squid-cache.org>


<b>On Behalf Of </b>?Amos Jeffries?<br>


<b>Sent:</b> Friday, January 15, 2021 8:16 AM<br>


<b>To:</b> Alex Rousskov <rousskov@measurement-factory.com>; squid-dev@lists.squid-cache.org<br>


<b>Subject:</b> Re: [squid-dev] effective acl for tcp_outgoing_address<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>


<div>


<p class="MsoNormal"><span lang="EN-US">FYI, this use case is why recent versions of kerberos auth helper being used in the OP config produces group= annotations for authenticated users. The note ACL mentioned can check for group SSID any of the fast access


 checks.<br>


<br>


Amos<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="EN-US"><br>


<br>


-------- Original message --------<br>


From: Alex Rousskov <<a href="mailto:rousskov@measurement-factory.com">rousskov@measurement-factory.com</a>><br>


Date: Fri, 15 Jan 2021, 03:25<br>


To: <a href="mailto:squid-dev@lists.squid-cache.org">squid-dev@lists.squid-cache.org</a><br>


Subject: Re: [squid-dev] effective acl for tcp_outgoing_address<o:p></o:p></span></p>


<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">


<p class="MsoNormal"><span lang="EN-US">On 1/13/21 7:47 PM, Hideyuki Kawai wrote:<br>


<br>


> 1. "external_acl" can not use on tcp_outgoing_address. Because the<br>


> external_acl type is slow. My understanding is correct?<br>


<br>


<br>


Yes, your understanding is correct. There are cases where a slow ACL<br>


"usually works" with a tcp_outgoing_address directive due to ACL caching<br>


side effects, and there are many examples on the web abusing those side<br>


effects, but you should not rely on such accidents when using modern<br>


Squid versions.<br>


<br>


<br>


> 2. If yes, how to solve my requirement?<br>


<br>


Use an annotation approach instead. The "note" ACL is fast, and the<br>


external ACL helper can annotate transactions (and connections) in<br>


modern Squids. The only difficulty with this approach is to find a<br>


directive that satisfies all of the conditions below:<br>


<br>


1. supports slow ACLs<br>


2. evaluated after the info needed by the external ACL helper is known<br>


3. evaluated before tcp_outgoing_address<br>


<br>


In many cases, http_access is such a directive, but YMMV.<br>


<br>


<br>


HTH,<br>


<br>


Alex.<br>


P.S. FWIW, I can agree with one Eliezer statement on this thread: This<br>


thread belongs to squid-users, not squid-dev.<br>


_______________________________________________<br>


squid-dev mailing list<br>


<a href="mailto:squid-dev@lists.squid-cache.org">squid-dev@lists.squid-cache.org</a><br>


<a href="http://lists.squid-cache.org/listinfo/squid-dev">http://lists.squid-cache.org/listinfo/squid-dev</a><o:p></o:p></span></p>


</blockquote>


</div>


</div>


</body>


</html>