<div dir="ltr">I forgot to paste my pf.conf<br><br># rdr pass inet proto tcp from <a href="http://10.0.0.9/32">10.0.0.9/32</a> to any port 80 -> 10.0.0.24 port 3128<br># nat on bge0 inet from any to port 80 -> bge0<br>rdr pass inet proto tcp from 10.0.0.23 to any port 80 -> 10.0.0.24 port 3129<br># pass on bge0 inet proto tcp from bge0 to bge0 port 3128<br><br># block in<br>pass in log quick on bge0<br>pass out log quick on bge0<br>pass out keep state<br><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Mar 7, 2015 at 8:24 AM, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 8/03/2015 1:09 a.m., Monah Baki wrote:<br>
> Forgot to paste my test.<br>
><br>
> Basically from my squid server:<br>
> root@ISN-PHC-CACHE:/cache/squid/bin # ./squidclient -h <a href="http://www.cnn.com" target="_blank">www.cnn.com</a> -H<br>
> 'Host: <a href="http://www.cnn.com" target="_blank">www.cnn.com</a>\n' -p 80<br>
> HTTP/1.1 302 Found<br>
> Server: Varnish<br>
> Retry-After: 0<br>
> Content-Length: 0<br>
> Location: <a href="http://edition.cnn.com80" target="_blank">http://edition.cnn.com80</a><br>
<br>
</span>Um, that redirect URL is invalid. This Varnish is outputting garbage.<br>
<br>
<br>
However, this test result does prove that output traffic from your Squid<br>
should be fine. The test connecting to your port 3128 should confirm<br>
that by getting the same or very similar result for normal traffic.<br>
<br>
<br>
So the problem is on the input. It could still be at the client end, or<br>
in the NAT redirection.<br>
<br>
One thing I've not seen clarified in the discussion is which machine the<br>
NAT rules have been placed (Squid box? or router?). Sorry if I missed that.<br>
 The NAT operation MUST be done on the Squid box or the local machines<br>
NAT system tells it the client was connecting to connect to<br>
itself/Squid:3129 (which is the forwarding loop).<br>
<br>
The router looks liek a Cisco device, so it must do L2 routing<br>
redirection or WCCP to deliver packets to the Squid machine without<br>
having altered their IP:port details in any way.<br>
<span class="HOEnZb"><font color="#888888"><br>
Amos<br>
<br>
</font></span></blockquote></div><br></div>