<div style="FONT-FAMILY: Arial; COLOR: rgb(0, 0, 0); FONT-SIZE: 12px"><div>This fixed the WSUS server, it wasn't the cache_peer parameter after all.</div><div><br /></div><div>acl inside dstdomain .mydomain.com</div><div>always_direct allow inside </div><div><span style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: 12.8px; background-color: rgb(255, 255, 255);">never_direct allow all</span></div><div> </div><div>The SEPM might have an additional known issue (known by Symantec that is)</div><div><br /></div><div>If a proxy or a firewall is stripping, compressing, or encrypting content length packet headers, that'll break SEPM too. (SEPM uses port 80 by default, so theoretically it should have been getting out)</div><div><br /></div><div>Is there a parameter in squid that would do that? (so I can see if it is configured or not) The squid.conf is 90% of the default file, with just a few tweaks needed for our environment.</div><div><br /></div><div>PG</div><div><br /></div><div><br /></div><div style="border-top:1px solid #bcbcbc;margin:5px 0px;"></div><span style="font-size:12;font-family:arial;color:#000000;">On 10/29/16, <span>Amos Jeffries<squid3@treenet.co.nz></span> wrote:</span><div> </div><div style="font-size:12;font-family:arial;color:#000000;">On 30/10/2016 4:40 a.m., paul.greene.va wrote:<br />> <br />> Our firewall guy says what he's seeing in his logs is that traffic destined for <br />> port 443, after it goes through the proxy, is trying to go straight to the <br />> vendor over the internet, rather than go through the upstream McAfee gateway as <br />> required, and thus, the traffic is getting dropped by the Cisco firewall. I did <br />> a packet capture test with the McAfee gateway guy, and he confirmed that no <br />> traffic coming from either either the WSUS or the SEPM is reaching his gateway.<br />> <br />> I thought this line in the squid.conf file should send traffic from our proxy to <br />> the upstream McAfee gateway, but maybe I'm misunderstanding the intent of the <br />> cache_peer parent parameter.<br />> <br />> cache_peer <McAfee Gateway IP address>      parent    8080  3130  proxy-only <br />> no-query no-netdb-exchange default login=username:password<br />> <br /><br />cache_peer configures the *how* of traffic sent to that gateway. Which<br />traffic uses it is configured by other directives (cache_peer_access,<br />always_direct, never_direct, peer_direct, nonhierarchical_direct) and<br />depends on the type of traffic.<br /><br />NP: the above also indicates the connection(s) are plain-text HTTP. If<br />you are using interception then HTTPS traffic cannot go through that<br />link. Since HTTPS requires end-to-end security, the cache_peer<br />connection needs to use 'ssl' options for intercepted port 443 to use it<br />safely.<br /><br /><br />> (if placement of this cache_peer parameter matters, its currently near the end <br />> of the squid.conf file)<br />> <br />> As a test, I configured internet explorer on the WSUS server to use the proxy <br />> for internet access, Without configuring for the proxy, IE can't go anywhere <br />> except the local network. IE can hit http websites (i.e. <a class="parsedLink" href="http://www.cnn.com" target="_blank">www.cnn.com</a>) when it's <br />> configured to use the proxy, but not https websites.<br />> <br />> The Safe_ports and SSL_ports list is the same as the squid.conf defaults.<br />> <br />> This is squid 3.3 running on Redhat 7.<br />> <br />> Any suggestions or pointers?<br /><br />Assuming you are using explicit/forward proxy, add this to your squid.conf:<br /><br /> never_direct allow all<br /><br />if that dont work by itself you may need these as well:<br /><br /> prefer_direct off<br /> nonhierarchical_direct off<br /><br />You should not have any existing lines with those directives or with<br />always_direct. If you do the placement might matter.<br /><br />Amos<br /><br />_______________________________________________<br />squid-users mailing list<br /><a class="parsedEmail" href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br /><a class="parsedLink" href="http://lists.squid-cache.org/listinfo/squid-users" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br /></div></div>