<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 23 January 2015 at 16:07, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
</span><span class="">On 24/01/2015 1:47 a.m., Yuri Voinov wrote:<br>
><br>
> Once more. You CANNOT have neither web-server nor other service<br>
> with listening port 80 on the same host as transparent Squid proxy.<br>
> This is one and only reason you have looping.<br>
><br>
<br>
</span>That is not correct. It can be done, but depends on how the firewall<br>
operates and what ruleset is used.<br>
<br>
One has to intercept traffic transiting the machine, but ignore<br>
traffic destined *to* or *from* the local machines running processes.<br>
<span class=""><br>
> Look. On my transparent 3.4.11 (which was early 2.7) IPFilter<br>
> redirects 80 port to proxy. My web server on the same host listens<br>
> only 8080, 8088 and 8888 ports. No one service except NAT is using<br>
> 80 port.<br>
><br>
> And finally I have no looping 4 years.<br>
><br>
> Obvious, is it?<br>
><br>
<br>
</span>Maybe there was, maybe there wasn't.<br>
<br>
Squid-2.7 ignored a lot of NAT related errors and even silently did<br>
some Very Bad Things(tm) - none of which Squid-3.2+ will allow to<br>
happen anymore.<br>
<br>
<br>
Odhiambo:<br>
I suspect it might be related to your use of "rdr" firewall rules. In<br>
OpenBSD PF at least rdr rules do not work properly and divert-to rules<br>
needs to be used instead (divert-to can be used for either TPROXY or<br>
NAT Squid listening ports on BSD).<br></blockquote><div><br></div><div></div></div><div class="gmail_extra"><br></div>I am thinking Squid-3.2+ is evil :-)</div><div class="gmail_extra"><br></div><div class="gmail_extra">Anyway, my PF rules are here : <a href="http://pastebin.com/pKv1jN2v">http://pastebin.com/pKv1jN2v</a></div><div class="gmail_extra">And my IPFilter rules are here: <a href="http://pastebin.com/JQ77X01H">http://pastebin.com/JQ77X01H</a></div><div class="gmail_extra"><br></div><div class="gmail_extra">I need to figure out why squid is DENYing all access ..</div><div class="gmail_extra"><br clear="all"><div><br></div>-- <br><div class="gmail_signature">Best regards,<br>Odhiambo WASHINGTON,<br>Nairobi,KE<br>+254733744121/+254722743223<br>"I can't hear you -- I'm using the scrambler."<br></div>
</div></div>