
<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 23 January 2015 at 16:07, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">-----BEGIN PGP SIGNED MESSAGE-----<br>

Hash: SHA1<br>

<br>

</span><span class="">On 24/01/2015 1:47 a.m., Yuri Voinov wrote:<br>

><br>

> Once more. You CANNOT have neither web-server nor other service<br>

> with listening port 80 on the same host as transparent Squid proxy.<br>

> This is one and only reason you have looping.<br>

><br>

<br>

</span>That is not correct. It can be done, but depends on how the firewall<br>

operates and what ruleset is used.<br>

<br>

One has to intercept traffic transiting the machine, but ignore<br>

traffic destined *to* or *from* the local machines running processes.<br>

<span class=""><br>

> Look. On my transparent 3.4.11 (which was early 2.7) IPFilter<br>

> redirects 80 port to proxy. My web server on the same host listens<br>

> only 8080, 8088 and 8888 ports. No one service except NAT is using<br>

> 80 port.<br>

><br>

> And finally I have no looping 4 years.<br>

><br>

> Obvious, is it?<br>

><br>

<br>

</span>Maybe there was, maybe there wasn't.<br>

<br>

Squid-2.7 ignored a lot of NAT related errors and even silently did<br>

some Very Bad Things(tm) - none of which Squid-3.2+ will allow to<br>

happen anymore.<br>

<br>

<br>

Odhiambo:<br>

I suspect it might be related to your use of "rdr" firewall rules. In<br>

OpenBSD PF at least rdr rules do not work properly and divert-to rules<br>

needs to be used instead (divert-to can be used for either TPROXY or<br>

NAT Squid listening ports on BSD).<br></blockquote><div><br></div><div></div></div><div class="gmail_extra"><br></div>I am thinking Squid-3.2+ is evil :-)</div><div class="gmail_extra"><br></div><div class="gmail_extra">Anyway, my PF rules are here : <a href="http://pastebin.com/pKv1jN2v">http://pastebin.com/pKv1jN2v</a></div><div class="gmail_extra">And my IPFilter rules are here: <a href="http://pastebin.com/JQ77X01H">http://pastebin.com/JQ77X01H</a></div><div class="gmail_extra"><br></div><div class="gmail_extra">I need to figure out why squid is DENYing all access ..</div><div class="gmail_extra"><br clear="all"><div><br></div>-- <br><div class="gmail_signature">Best regards,<br>Odhiambo WASHINGTON,<br>Nairobi,KE<br>+254733744121/+254722743223<br>"I can't hear you -- I'm using the scrambler."<br></div>

</div></div>