<div dir="ltr"><div>hi,<br><br>I have a working(?) squid 3.10 proxy configuration. <br>squid-3.1.10-29.18.amzn1.x86_64 on AWS Linux behind an AWS elastic load balancer.<br><br>My problem is that it appears every single AWS elastic load balancer healthcheck triggers a line like this in cache.log:<br>2015/10/28 22:35:10| IpIntercept.cc(137) NetfilterInterception:  NF getsockopt(SO_ORIGINAL_DST) failed on FD 14: (92) Protocol not available<br><br>I have determined that if I removed the 'intercept' option from our http_port 3128, we no longer get the warning messages in cache.log, but squid also no longer functions as we want it to...<br><br>How do we resolve this?'<br></div>Thanks!<br><div><p id="yui_3_16_0_1_1446059221227_6467" dir="ltr">My squid.conf:</p><p id="yui_3_16_0_1_1446059221227_6469" dir="ltr">#<br># Recommended minimum configuration:<br>#<br>acl manager proto cache_object<br>acl localhost src <a href="http://127.0.0.1/32">127.0.0.1/32</a> ::1<br>acl to_localhost dst <a href="http://127.0.0.0/8">127.0.0.0/8</a> <a href="http://0.0.0.0/32">0.0.0.0/32</a> ::1<br><br># Example rule allowing access from your local networks.<br># Adapt to list your (internal) IP networks from where browsing<br># should be allowed<br>acl localnet src <a href="http://10.0.0.0/8">10.0.0.0/8</a>     # RFC1918 possible internal network<br>acl localnet src <a href="http://172.16.0.0/12">172.16.0.0/12</a>  # RFC1918 possible internal network<br>acl localnet src <a href="http://192.168.0.0/16">192.168.0.0/16</a> # RFC1918 possible internal network<br>acl localnet src fc00::/7       # RFC 4193 local private network range<br>acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines<br><br>acl httpacl port 80<br>acl SSL_ports port 443<br>acl Safe_ports port 80          # http<br>acl Safe_ports port 21          # ftp<br>acl Safe_ports port 443         # https<br>acl Safe_ports port 70          # gopher<br>acl Safe_ports port 210         # wais<br>acl Safe_ports port 1025-65535  # unregistered ports<br>acl Safe_ports port 280         # http-mgmt<br>acl Safe_ports port 488         # gss-http<br>acl Safe_ports port 591         # filemaker<br>acl Safe_ports port 777         # multiling http<br>acl CONNECT method CONNECT<br><br>#<br># Recommended minimum Access Permission configuration:<br>#<br># Only allow cachemgr access from localhost<br>http_access allow manager localhost<br>http_access deny manager<br><br># Deny requests to certain unsafe ports<br>http_access deny !Safe_ports<br><br># Deny CONNECT to other than secure SSL ports<br>http_access deny CONNECT !SSL_ports<br><br># We strongly recommend the following be uncommented to protect innocent<br># web applications running on the proxy server who think the only<br># one who can access services on "localhost" is a local user<br>#http_access deny to_localhost<br><br>#<br># INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS<br>#<br><br>negative_ttl 3600 seconds<br><br># Example rule allowing access from your local networks.<br># Adapt localnet in the ACL section to list your (internal) IP networks<br># from where browsing should be allowed<br>http_access allow localnet<br>http_access allow localhost<br><br># And finally deny all other access to this proxy<br>http_access deny all<br><br># Squid normally listens to port 3128<br><br>http_port 3128 intercept<br><br># We recommend you to use at least the following line.<br>hierarchy_stoplist cgi-bin ?<br><br># Uncomment and adjust the following to add a disk cache directory.<br>cache_dir ufs /squid1 30720 16 256<br>cache_dir ufs /squid2 30720 16 256<br>cache_mem 10 GB<br>access_log /logs/squid/access.log<br>cache_log /logs/squid/cache.log<br><br># Leave coredumps in the first cache dir<br>coredump_dir /var/spool/squid<br><br>visible_hostname l1<br><br># Add any of your own refresh_pattern entries above these.<br>refresh_pattern -i \.(html|htm|css|js)$ 1440 40% 259200<br>refresh_pattern -i \.(gif|png|jpg|jpeg|ico|otf|woff|eot|ttf|svg)$ 10080 90% 259200 override-expire ignore-no-cache ignore-no-store ignore-private<br>refresh_pattern ^ftp:   1440  20% 10080<br>refresh_pattern ^gopher:  1440  0%  1440<br>refresh_pattern -i (/cgi-bin/|\?) 0 0%  0<br>refresh_pattern .   0 20% 4320<br><br>cache_peer l2proxy  parent 80 0 no-query no-digest name=http_peer<br>cache_peer_access http_peer allow httpacl<br>cache_peer l2proxy parent 3129 0 no-query no-digest name=https_peer<br>cache_peer_access https_peer deny httpacl<br>never_direct allow all<br></p><p dir="ltr"><br></p></div></div>