<div dir="ltr"><br><div class="gmail_extra"><br clear="all"><br><div class="gmail_quote">On Wed, Mar 16, 2016 at 10:44 AM, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class=""><div class="h5">On 17/03/2016 3:03 a.m., Chris Nighswonger wrote:<br>
> On Wed, Mar 16, 2016 at 9:07 AM, Amos Jeffries <<a href="mailto:squid3@treenet.co.nz">squid3@treenet.co.nz</a>> wrote:<br>
><br>
>> On 17/03/2016 1:57 a.m., Amos Jeffries wrote:<br>
>>> On 17/03/2016 1:25 a.m., Chris Nighswonger wrote:<br>
>>>> On Wed, Mar 16, 2016 at 1:03 AM, Amos Jeffries wrote:<br>
>>>><br>
>>>>> On 16/03/2016 12:38 p.m., Chris Nighswonger wrote:<br>
>>>>>> Why does netstat show two connections per client connection to Squid:<br>
>>>>>><br>
>>>>>> tcp        0      0 <a href="http://127.0.0.1:3128" rel="noreferrer" target="_blank">127.0.0.1:3128</a>          <a href="http://127.0.0.1:34167" rel="noreferrer" target="_blank">127.0.0.1:34167</a><br>
>>>>>> ESTABLISHED<br>
>>>>>> tcp        0      0 <a href="http://127.0.0.1:34167" rel="noreferrer" target="_blank">127.0.0.1:34167</a>         <a href="http://127.0.0.1:3128" rel="noreferrer" target="_blank">127.0.0.1:3128</a><br>
>>>>>> ESTABLISHED<br>
>>>>>><br>
>>>>>> In this case, there is a content filter running in front of Squid on<br>
>> the<br>
>>>>>> same box. The same netstat command filtered on the content filter port<br>
>>>>>> shows only one connection per client:<br>
>>>>>><br>
>>>>>> tcp        0      0 192.168.x.x:8080      192.168.x.y:1310<br>
>>>>>  ESTABLISHED<br>
>>>>>><br>
>>>>><br>
>>>>> Details of your Squid configuration are needed to answer that.<br>
>>>>><br>
>>>><br>
>>>><br>
>>>> Here it is. I've stripped out all of the acl lines to reduce the length:<br>
>>>><br>
>>>> tcp_outgoing_address 184.x.x.x<br>
>>>> http_port <a href="http://127.0.0.1:3128" rel="noreferrer" target="_blank">127.0.0.1:3128</a><br>
>>><br>
>>> It would seem that it is not Squid making those connections outbound<br>
>>> from <a href="http://127.0.0.1:3128" rel="noreferrer" target="_blank">127.0.0.1:3128</a>. Squid uses that 184.x.x.x address with random<br>
>>> source ports for *all* its outbound connections.<br>
>><br>
>><br>
>> Ah, just had an idea. Do you have IDENT protocol in those ACLs you elided?<br>
>><br>
>> IDENT makes a reverse connection back to the client to find the identity.<br>
>><br>
>><br>
> So I have this acl in the list:<br>
><br>
> acl AuthorizedUsers proxy_auth REQUIRED<br>
><br>
> Might that be the one?<br>
<br>
</div></div>No, if existing it would have 'ident' or 'ident_regex' type.<br>
<br>
Log formats would be the other way to hit ident. But I didn't notice<br>
anything fancy like that in the config you posted.<br>
<span class=""><font color="#888888"></font></span></blockquote><div><br></div><div>Sorry for the direct reply on the last iteration. Silly g-mail does not support reply to list apparently.<br><br></div><div>I've cleaned up the config based on your suggestions.<br><br></div><div>I'm not super concerned about the two connection issue. I was mostly wondering what was up. Perhaps I should be. Ignorance is not always bliss.<br></div><div><br></div><div>WRT <span class="im">follow_x_forwarded_for allow all, I've changed "all" to "localhost." I don't know if that tightens things up maybe? I need this enabled so that the client IPs show up in the Squid log. At least I think I do.<br><br></span></div></div>Thanks for the help. We've run Squid for over 16 years and it mostly just works.<br><br></div><div class="gmail_extra">Kind regards,<br></div><div class="gmail_extra">Chris<br><br><br></div></div>