<div dir="ltr">Yes that is much easier, thank you. <div><br></div><div>Rafaels line is response header, I received the same. Here is the related cachelog:<div><div><div><br><div><div><div>2016/06/27 13:52:49.194 kid1| 11,2| http.cc(2235) sendRequest: HTTP Server REQUEST:</div></div><div>GET / HTTP/1.1</div><div>Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8</div><div>Upgrade-Insecure-Requests: 1</div><div>User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Ubuntu Chromium/50.0.2661.102 Chrome/50.0.2661.102 Safari/537.36</div><div>Accept-Encoding: gzip, deflate, sdch</div><div>Accept-Language: tr,en-US;q=0.8,en;q=0.6</div><div>...</div><div>Host: <a href="http://www.flickr.com">www.flickr.com</a></div><div>Via: 1.1 ubuntuozgen (squid/3.5.19)</div><div>Surrogate-Capability: ubuntuozgen="Surrogate/1.0 ESI/1.0"</div><div>X-Forwarded-For: ::1</div><div>Cache-Control: max-age=0</div><div>Connection: keep-alive</div><div><br></div><div>..<br></div><div>2016/06/27 13:52:49.477 kid1| 11,2| http.cc(751) processReplyHeader: HTTP Server REPLY:</div><div>---------</div><div>HTTP/1.1 301 Moved Permanently</div><div>X-Frame-Options: SAMEORIGIN</div><div>X-Content-Type-Options: nosniff</div><div>X-XSS-Protection: 1; mode=block</div><div>X-Served-By: <a href="http://pprd1-node552-lh1.manhattan.bf1.yahoo.com">pprd1-node552-lh1.manhattan.bf1.yahoo.com</a></div><div>X-Instance: <a href="http://flickr.v1.production.manhattan.bf1.yahoo.com">flickr.v1.production.manhattan.bf1.yahoo.com</a></div><div>Cache-Control: no-cache, max-age=0, must-revalidate, no-store</div><div>Pragma: no-cache</div><div>X-Request-Id: 36e709a2</div><div>Location: <a href="https://www.flickr.com/">https://www.flickr.com/</a></div><div>Vary: Accept</div><div>Content-Type: text/html; charset=utf-8</div><div>Content-Length: 102</div><div>Server: ATS</div><div>Date: Mon, 27 Jun 2016 10:52:40 GMT</div><div>Age: 0</div><div>Via: http/1.1 <a href="http://fts111.flickr.bf1.yahoo.com">fts111.flickr.bf1.yahoo.com</a> (ApacheTrafficServer [cMs f ]), http/1.1 <a href="http://r11.ycpi.dea.yahoo.net">r11.ycpi.dea.yahoo.net</a> (ApacheTrafficServer [cMs f ])</div><div>Connection: keep-alive</div><div>..</div></div></div><div><br></div><div>And this repeats on and on. As I understand disabling Via header is an acceptable solution. If I could disable the header only for problematic domains that would be better of course. </div></div><div><br></div><div>Thank you all. </div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jun 27, 2016 at 1:39 PM, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 27/06/2016 9:04 p.m., Ozgur Batur wrote:<br>
> Hello Amos,<br>
><br>
> This is the via header sent by my local proxy as part of the request.<br>
</span>> *Via: 1.1 ubuntuozgen (squid/3.5.19)*<br>
<span class="">><br>
> It is not fqdn but ubuntu concatanated with a Turkish name so it is highly<br>
> unlikely that yahoo have such named reverse proxy. I could not decrypt the<br>
> squid <--> flicker traffic yet this is from pcap output from another http<br>
> site but i think it should be same right?<br>
<br>
</span>Yes pcap (with full packet data) should contain the same needed details<br>
yes. cache.log with debug level 11,2 is the easier way to get the<br>
headers though since the crypto is removed by Squid.<br>
<span class="HOEnZb"><font color="#888888"><br>
Amos<br>
<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">H Özgür Batur</div>
</div></div>