<p dir="ltr">So does that mean I can run the DNAT on the firewall/router/load balancer device and remove the intercept line from my configs, and expect things to work?</p>
<div class="gmail_quote">On Nov 18, 2015 10:43 PM, "Amos Jeffries" <<a href="mailto:squid3@treenet.co.nz">squid3@treenet.co.nz</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 19/11/2015 3:08 p.m., Brendan Kearney wrote:<br>
> I am trying to set up a transparent, intercepting squid instance, along<br>
> side my existing explicit instance, and would like some input around<br>
> what i have buggered up so far.<br>
><br>
> i am running HAProxy in front of two squid instances, with the XFF<br>
> header added by HAProxy.  My squid configs are all set to follow the XFF<br>
> for the real source and logging is setup around digesting XFF for the<br>
> source.<br>
><br>
> i took my config and added:<br>
> http_port <a href="http://192.168.88.1:3129" rel="noreferrer" target="_blank">192.168.88.1:3129</a> intercept<br>
<br>
This tells Squid you are intercepting the traffic between HAProxy and Squid.<br>
<br>
You describe HAProxy as explicitly sending traffic to the Squid, so<br>
there is no need for interception into Squid.<br>
<br>
><br>
> this tells me that i am getting to the squid instances via the load<br>
> balancer, but i am running into the "NAT must occur on the squid box"<br>
> rule, i think.<br>
<br>
Yes. That rule and the intercept option that cause it does not apply<br>
when the software sending traffic to Squid is explicitly configured.<br>
Such as you describe HAProxy being.<br>
<br>
Amos<br>
<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div>