<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 23 January 2015 at 16:53, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
</span><div><div class="h5">On 24/01/2015 2:47 a.m., Odhiambo Washington wrote:<br>
> On 23 January 2015 at 16:40, Amos Jeffries <<a href="mailto:squid3@treenet.co.nz">squid3@treenet.co.nz</a>><br>
> wrote:<br>
><br>
>> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1<br>
>><br>
>> On 24/01/2015 2:20 a.m., Odhiambo Washington wrote:<br>
>>> On 23 January 2015 at 16:07, Amos Jeffries<br>
>>> <<a href="mailto:squid3@treenet.co.nz">squid3@treenet.co.nz</a>> wrote:<br>
>>><br>
>>>> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1<br>
>>>><br>
>>>> On 24/01/2015 1:47 a.m., Yuri Voinov wrote:<br>
>>>>><br>
>>>>> Once more. You CANNOT have neither web-server nor other<br>
>>>>> service with listening port 80 on the same host as<br>
>>>>> transparent Squid proxy. This is one and only reason you<br>
>>>>> have looping.<br>
>>>>><br>
>>>><br>
>>>> That is not correct. It can be done, but depends on how the<br>
>>>> firewall operates and what ruleset is used.<br>
>>>><br>
>>>> One has to intercept traffic transiting the machine, but<br>
>>>> ignore traffic destined *to* or *from* the local machines<br>
>>>> running processes.<br>
>>>><br>
>>>>> Look. On my transparent 3.4.11 (which was early 2.7)<br>
>>>>> IPFilter redirects 80 port to proxy. My web server on the<br>
>>>>> same host listens only 8080, 8088 and 8888 ports. No one<br>
>>>>> service except NAT is using 80 port.<br>
>>>>><br>
>>>>> And finally I have no looping 4 years.<br>
>>>>><br>
>>>>> Obvious, is it?<br>
>>>>><br>
>>>><br>
>>>> Maybe there was, maybe there wasn't.<br>
>>>><br>
>>>> Squid-2.7 ignored a lot of NAT related errors and even<br>
>>>> silently did some Very Bad Things(tm) - none of which<br>
>>>> Squid-3.2+ will allow to happen anymore.<br>
>>>><br>
>>>><br>
>>>> Odhiambo: I suspect it might be related to your use of "rdr"<br>
>>>> firewall rules. In OpenBSD PF at least rdr rules do not work<br>
>>>> properly and divert-to rules needs to be used instead<br>
>>>> (divert-to can be used for either TPROXY or NAT Squid<br>
>>>> listening ports on BSD).<br>
>>>><br>
>>><br>
>>><br>
>>> I am thinking Squid-3.2+ is evil :-)<br>
>>><br>
>>> Anyway, my PF rules are here : <a href="http://pastebin.com/pKv1jN2v" target="_blank">http://pastebin.com/pKv1jN2v</a> And<br>
>>> my IPFilter rules are here: <a href="http://pastebin.com/JQ77X01H" target="_blank">http://pastebin.com/JQ77X01H</a><br>
>>><br>
>>> I need to figure out why squid is DENYing all access ..<br>
>>><br>
>><br>
>> Can you update me on what the squid -v output is from the Squid<br>
>> build you are having issues with pleae?<br>
>><br>
>> Amos<br>
>><br>
><br>
> root@mail:/usr/src # /opt/squid35/sbin/squid -v Squid Cache:<br>
> Version 3.5.1-20150120-r13736 Service Name: squid configure<br>
> options:  '--prefix=/opt/squid35' '--enable-removal-policies=lru<br>
> heap' '--disable-epoll' '--enable-auth' '--enable-auth-basic=DB<br>
> NCSA PAM PAM POP3 SSPI' '--enable-external-acl-helpers=session<br>
> unix_group file_userip' '--enable-auth-negotiate=kerberos'<br>
> '--with-pthreads' '--enable-storeio=ufs diskd rock aufs'<br>
> '--enable-delay-pools' '--enable-snmp' '--with-openssl=/usr'<br>
> '--enable-forw-via-db' '--enable-cache-digests' '--enable-wccpv2'<br>
> '--enable-follow-x-forwarded-for' '--with-large-files'<br>
> '--enable-large-cache-files' '--enable-esi' '--enable-kqueue'<br>
> '--enable-icap-client' '--enable-kill-parent-hack' '--enable-ssl'<br>
> '--enable-leakfinder' '--enable-ssl-crtd'<br>
> '--enable-url-rewrite-helpers' '--enable-xmalloc-statistics'<br>
> '--enable-stacktraces' '--enable-zph-qos' '--enable-eui'<br>
> '--enable-pf-transparent' 'CC=clang' 'CXX=clang++'<br>
> --enable-ltdl-convenience<br>
><br>
<br>
</div></div>Okay. Can you explicitly add --disable-ipf-transparent<br>
- --disable-ipfw-transparent and see if that helps.<br>
<br>
Also in squid.conf adding debugs_options ALL,1 89,9  will show just<br>
the NAT lookup results where things are going wrong.<br></blockquote><div><br></div><div>So, before I recompile, we can look at the debug output:</div><div><br></div><div><div>2015/01/23 17:07:45| storeLateRelease: released 0 objects</div><div>2015/01/23 17:07:46.959| Intercept.cc(362) Lookup: address BEGIN: me/client= <a href="http://192.168.2.254:13128">192.168.2.254:13128</a>, destination/me= <a href="http://192.168.2.115:58632">192.168.2.115:58632</a></div><div>2015/01/23 17:07:46.959| Intercept.cc(293) PfInterception: address NAT divert-to: local=<a href="http://192.168.2.254:13128">192.168.2.254:13128</a> remote=<a href="http://192.168.2.115:58632">192.168.2.115:58632</a> FD 14 flag</div><div>s=33</div><div>2015/01/23 17:07:49.179| Intercept.cc(362) Lookup: address BEGIN: me/client= <a href="http://192.168.2.254:13128">192.168.2.254:13128</a>, destination/me= <a href="http://192.168.2.254:39850">192.168.2.254:39850</a></div><div>2015/01/23 17:07:49.179| Intercept.cc(293) PfInterception: address NAT divert-to: local=<a href="http://192.168.2.254:13128">192.168.2.254:13128</a> remote=<a href="http://192.168.2.254:39850">192.168.2.254:39850</a> FD 18 flag</div><div>s=33</div><div>2015/01/23 17:07:49.179| WARNING: Forwarding loop detected for:</div><div>GET /crx/blobs/QwAAAHF3InbmK-wFIemaY3I3BCPg-PjQGwE5gQ9QUn12pYvFn6PDmZgXxNF7VvigznwvJ8WaXIAcdCCqy0GvWdiTCOtn1gMu-J79t3vAXEydkC0WAMZSmuVMGd3ZQxF_Ho</div><div>se6F8g4c8bJYmPZA/extension_1_4_6_758.crx HTTP/1.1</div><div>Accept: */*</div><div>Accept-Encoding: identity</div><div>If-Unmodified-Since: Sun, 01 Apr 2007 07:00:00 GMT</div><div>Range: bytes=3436183-3841157</div><div>User-Agent: Microsoft BITS/7.5</div><div>Host: <a href="http://cache.pack.google.com">cache.pack.google.com</a></div><div>Via: 1.1 aardvark (squid)</div><div>X-Forwarded-For: 192.168.2.115</div><div>Cache-Control: max-age=259200</div><div>Connection: keep-alive</div><div><br></div><div><br></div><div>2015/01/23 17:07:49.260| Intercept.cc(362) Lookup: address BEGIN: me/client= <a href="http://192.168.2.254:13128">192.168.2.254:13128</a>, destination/me= <a href="http://192.168.2.115:58634">192.168.2.115:58634</a></div><div>2015/01/23 17:07:49.260| Intercept.cc(293) PfInterception: address NAT divert-to: local=<a href="http://192.168.2.254:13128">192.168.2.254:13128</a> remote=<a href="http://192.168.2.115:58634">192.168.2.115:58634</a> FD 14 flag</div><div>s=33</div><div>2015/01/23 17:07:49.260| WARNING: Forwarding loop detected for:</div><div>GET /crx/blobs/QwAAAHF3InbmK-wFIemaY3I3BCPg-PjQGwE5gQ9QUn12pYvFn6PDmZgXxNF7VvigznwvJ8WaXIAcdCCqy0GvWdiTCOtn1gMu-J79t3vAXEydkC0WAMZSmuVMGd3ZQxF_Ho</div><div>se6F8g4c8bJYmPZA/extension_1_4_6_758.crx HTTP/1.1</div><div>Accept: */*</div><div>Accept-Encoding: identity</div><div>If-Unmodified-Since: Sun, 01 Apr 2007 07:00:00 GMT</div><div>Range: bytes=3436183-3841157</div><div>User-Agent: Microsoft BITS/7.5</div><div>Host: <a href="http://cache.pack.google.com">cache.pack.google.com</a></div><div>Via: 1.1 aardvark (squid)</div><div>X-Forwarded-For: 192.168.2.115</div><div>Cache-Control: max-age=259200</div><div>Connection: keep-alive</div><div><br></div><div><br></div><div>2015/01/23 17:07:49.350| Intercept.cc(362) Lookup: address BEGIN: me/client= <a href="http://192.168.2.254:13128">192.168.2.254:13128</a>, destination/me= <a href="http://192.168.2.115:58636">192.168.2.115:58636</a></div><div>2015/</div></div><div><br></div><div><br></div><div>So there must be a way to deal with this loop in PF </div><div><br></div><div><br></div><div><br></div></div><div><br></div>-- <br><div class="gmail_signature">Best regards,<br>Odhiambo WASHINGTON,<br>Nairobi,KE<br>+254733744121/+254722743223<br>"I can't hear you -- I'm using the scrambler."<br></div>
</div></div>