<div dir="ltr"><div>Thank you Amos. <br><br>I have the following at squidguard: <br><br>    default {<br>        pass     !porn !adv !drugs !custom any<br>        redirect <a href="http://localhost:10080/error.php">http://localhost:10080/error.php</a><br>    }<br><br></div><div>Which when squid in intercept mode the user is "redirected" to error page. I'm not sure if squidguard is rewriting or redirecting.<br></div><div>With squid in tproxy mode the user gets the squid error page "The Requested URL cannot be retrieved: network unreachable 101 ... "<br><br></div><div>I did replace this squid error page with my custom and it can be displayed to user, though this means that I will not be able to discern connections errors from deny errors. <br></div><div>I would prefer not to do this dirty trick and have a more clean approach. <br>Attempts to resolve it through routing table hacks were not successful also. <br><br></div><div><br></div><div><br></div><div><br><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, May 14, 2017 at 3:16 PM, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 14/05/17 01:59, Abi Askushi wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi,<br>
<br>
I have setup squid (v 3.1.20) with tproxy and relevant iptables and policy routes. It is functioning ok except one thing, squid is not able to redirect to deny page (located on same device) and it gives error "101 network unreachable". I have squidguard in the setup as a helper program and squidguard is doing the redirection to a page on localhost. With squid in intercept mode this redirection to deny page is ok. I have also disabled rpfilter in kernel. I may provide more details on configs if needed.<br>
<br>
Did anyone encounter this? Any ideas?<br>
<br>
</blockquote>
<br></span>
It is not possible to use a global IP address (eg the spoofed client IP) to connect to any machines lo (localhost) interface.<br>
<br>
So Squid is not able to perform TPROXY spoofing to fetch the page your SG is *re-writing* (not redirecting) the URL to. If you actually are redirecting then the client cannot connect to the web server running in *its* localhost interface.<br>
<br>
<br>
PS. please upgrade, no up to date OS releases I'm aware of still ship Squid-3.1.<br>
<br>
Amos<br>
<br>
______________________________<wbr>_________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.<wbr>org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/l<wbr>istinfo/squid-users</a><br>
</blockquote></div><br></div>