<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">2016-08-19 17:22 GMT-03:00 Antony Stone <span dir="ltr"><<a href="mailto:Antony.Stone@squid.open.source.it" target="_blank">Antony.Stone@squid.open.source.it</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">On Friday 19 August 2016 at 20:41:11, Jok Thuau wrote:<br>
<br>
> On Fri, Aug 19, 2016 at 9:33 AM, Sergio Belkin <<a href="mailto:sebelk@gmail.com">sebelk@gmail.com</a>> wrote:<br>
> > /var/log/squid/access.log<br>
> > 192.168.50.41 - - [19/Aug/2016:12:19:45 -0300] "CONNECT<br>
> > <a href="http://beap-bc.yahoo.com:443" rel="noreferrer" target="_blank">beap-bc.yahoo.com:443</a> HTTP/1.1" 407 4634 "-" "Mozilla/5.0 (Windows NT<br>
> > 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0" TCP_DENIED:HIER_NONE<br>
><br>
> This is unauthenticated (notice the "- -" after the IP)<br>
><br>
> > 192.168.50.41 - juan.perez [19/Aug/2016:12:19:45 -0300] "CONNECT<br>
> > <a href="http://beap-bc.yahoo.com:443" rel="noreferrer" target="_blank">beap-bc.yahoo.com:443</a> HTTP/1.1" 200 0 "-" "Mozilla/5.0 (Windows NT 6.1;<br>
> > WOW64; rv:41.0) Gecko/20100101 Firefox/41.0" TAG_NONE:HIER_DIRECT<br>
><br>
> This one is authenticated (juan.perez). The code 407 in the first request<br>
> means "proxy request authentication". So what happened here is that the<br>
> user browsed, was asked for credentials (and maybe those were provided<br>
> automatically), and then the request was resent with the creds included.<br>
<br>
</span>Given the timestamps (both 12:19:45; no time for a human to enter credentials<br>
at a prompt) the browser did this automatically, and invisibly to the user.<br></blockquote><div><br><br></div><div>Exactly it does so, but I wonder if TCP_DENIED is the proper message here. <br></div><div> <br>   It's a case of "client must first authenticate itself with the proxy" (<a href="https://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html">https://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html</a>), perhaps I'm wrong, but would something such as TCP_UNAUTHORIZED be better?<br><br></div><div>However, I've found that I can create a rule in order to exclude such a messages in the logs:<br><br><a href="http://squid-web-proxy-cache.1019090.n4.nabble.com/Too-many-TCP-DENIED-407-when-using-Kerberos-authentication-td4662372.html">http://squid-web-proxy-cache.1019090.n4.nabble.com/Too-many-TCP-DENIED-407-when-using-Kerberos-authentication-td4662372.html</a><br><br></div><div>And squid-analyzer has a directive to exclude them too:<br><br>ExcludedCodes  TCP_DENIED/407<br><br></div><div>Thanks!<br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div class=""><div class="h5"><br>
> http_access deny  !kerb_auth<br>
><br>
> > http_access allow kerb_auth whitelist_ips<br>
><br>
> And here is the config that causes that -- it's totally normal...<br>
><br>
> Thanks,<br>
<br>
</div></div><span class=""><font color="#888888">Antony.<br>
<br>
--<br>
"In fact I wanted to be John Cleese and it took me some time to realise that<br>
the job was already taken."<br>
<br>
 - Douglas Adams<br>
<br>
                                                   Please reply to the list;<br>
                                                         please *don't* CC me.</font></span><br></blockquote></div><br clear="all"><br>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr">--<br>Sergio Belkin<br>LPIC-2 Certified - <a href="http://www.lpi.org" target="_blank">http://www.lpi.org</a></div></div></div></div>
</div></div>