<div dir="ltr"><div><div><div><div><div>Hi Amos and Eliezer,<br><br></div>My complete squid.conf is in the first post.  The 'interesting' parts are here:<br><br>acl httpacl port 80<br>acl SSL_ports port 443<br><br>http_port 3128 intercept<br><br>cache_peer l2proxy  parent 80 0 no-query no-digest name=http_peer<br>cache_peer_access http_peer allow httpacl<br>cache_peer l2proxy parent 3129 0 no-query no-digest name=https_peer<br>cache_peer_access https_peer deny httpacl<br>never_direct allow all<br><br>We have 2 layers of proxies for business reasons.<br>The proxies in question are the first layer, they redirect all traffic to a second layer of proxies - l2proxy above<br>http traffic goes out port 80, https traffic goes out port 3129, toward the second layer of proxies.<br></div>I assume the 'intercept' is what allows / forces the incoming traffic from 3128 to go on to the 2nd layer of proxies.<br></div>When I remove 'intercept', the second layer of proxies never get called as we need them to be.<br><br></div>We don't need squid to do NAT, but we do need it to forward to the second layer of proxies.<br></div>Things are now working as expected, I'm just trying to reduce the noise in the logs and would clearly welcome any suggestions for improvements.<br><br>Thanks again,<br>John<br><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Oct 28, 2015 at 10:00 PM, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 29/10/2015 1:28 p.m., Eliezer Croitoru wrote:<br>
> Why are you using an intercept port?<br>
> IF you don't need it you dont't.<br>
> Every time any direct conneciton is done to the proxy port 3128 it will<br>
> show this line since the connection is a regular TCP one while the<br>
> "intercept" directive instructs squid to fetch information which exists<br>
> only on NATTED\REDIRECT traffic.<br>
> Pretty simple and straight forward and this is the way squid works..<br>
> You should verify if you need a http_port 1111 or http_port 1111 accel<br>
> or http_port 1111 intercept.<br>
><br>
> I will be glad to help you in about 20 hours.<br>
><br>
> Eliezer<br>
><br>
> On 29/10/2015 02:06, John Smith wrote:<br>
>> Hi Eliezer,<br>
>><br>
>> I've added a single line to my squid.conf:<br>
>> http_port 3130<br>
>><br>
>> And I've modified my AWS ELB healthcheck to monitor port 3130 instead of<br>
>> 3128.<br>
>> Now my instances are still in the ELB, and the proxy still works as<br>
>> expected, AND the amount of garbage errors in the cache.log has been<br>
>> significantly reduced.<br>
<br>
</span>They are not garbage. They are telling you very clearly that the message<br>
being received did not go through the kernel NAT system so all the TCP<br>
protocol NAT related stuff is not working properly.<br>
<span class=""><br>
>><br>
>> Unfortunately I'm seeing a single a single line in cache.log every time I<br>
>> hit the proxy on port 3128:<br>
>> 2015/10/28 23:53:32| IpIntercept.cc(137) NetfilterInterception:  NF<br>
>> getsockopt(SO_ORIGINAL_DST) failed on FD 61: (92) Protocol not available<br>
>><br>
>>  From other posts, it appears this warning message related to NAT.<br>
>> I'm not<br>
>> doing NAT on the squid proxies, the load balancer takes care of that.<br>
<br>
</span>Exactly. You told Squid it had to do NAT with the "intercept" option.<br>
When it tried to do as you instructed ... boom.<br>
<span class=""><br>
>><br>
>> Any ideas how to remove the rest of the noise from my logs?<br>
<br>
</span>Start with removing the "intercept". It is clearly the wrong thing to<br>
have. Then move on to whatever problem appears next.<br>
<br>
If you let us know what this ELB+Squid pair is supposed to be doing,<br>
and/or share your squid.conf we can perhapse suggest what else you need<br>
to do for other problems.<br>
<span class="HOEnZb"><font color="#888888"><br>
AMos<br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</div></div></blockquote></div><br></div>