<div dir="ltr"><div><div><div><div>Amos,<br><br></div>I will do an update to the most recent version and see if that helps.  It was one of those situations where if it ain't broke, don't fix it.  And up until now, it has worked very well.<br><br></div>You are right, I had brain fade about port 4120.  It should NOT ask for authentication ever, and only connect to whitelisted sites, which is what I want.<br><br></div>I've made the changes you recommended to the conf file.  So far, everything seems to be working as I expect it to.  Thank you!<br><br></div>One more question if you don't mind.  I am trying to add some ip addresses as whitelisted for port 4120.  I guess I can't add those to the whitelist file, because it's formatting doesn't work with IP addresses?  I read that you can add them into the conf file.  I've created the following acl line:<br><br>acl 8x8 dst <a href="http://8.5.248.0/23">8.5.248.0/23</a> <a href="http://8.28.0.0/22">8.28.0.0/22</a> <a href="http://63.209.12.0/24">63.209.12.0/24</a> <a href="http://162.221.236.0/23">162.221.236.0/23</a> <a href="http://162.221.238.0/23">162.221.238.0/23</a> <a href="http://192.84.16.0/22">192.84.16.0/22</a><br><br>and I tried to add 8x8 to the the http_access line:<br><br>http_access allow whitelist 8x8<br><br>but when I did that, the 4120 port started asking for authentication, which is wrong. Can you tell me how to open those ip address ranges for port 4120?<br><br>Thanks very much<br>PH<div><div><div><div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 12, 2017 at 10:30 AM, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">On 13/12/17 04:10, Paul Hackmann wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Amos,<br>
<br>
The squid version is 3.1.19.<br>
</blockquote>
<br></span>
Please upgrade. There have been a *lot* of authentication related issues that got solved in the years since that version was released. IIRC several involved nasty things like the looping you described.<br>
<br>
All current OS distributions have more recent Squid versions available. Or worst-case custom building is not very hard.<span class="gmail-"><br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
  The network is set up with a 192.168.0.X network on the lan side, and a 192.168.1.x network on the internet side.  Both ports 3120 and 4120 require authentication,<br>
</blockquote>
<br>
<br></span>
NOTE: port 4120 is an intercepted port. HTTP Proxy Authentication on traffic arriving there is prohibited, since the HTTP traffic syntax is origin-form.<br>
<br>
However that said, your config displayed below contradicts what you wrote above. Port 41290 traffic does *not* use authentication - the only restriction on port 4120 traffic is that it be going to one of the whitelisted domains. Period. There is absolutely no restriction on what happens or can be done when going to those domains.<span class="gmail-"><br>
<br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
but port 4120 is meant to be restricted to only the whitelisted sites which are in a separate file.  Port 3120 allows access to any site.  The browser causing trouble is configured for port 3120, not 4120.  Here is my squid.conf file:<br>
<br>
</blockquote></span>
...<span class="gmail-"><br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
#not sure what this line does<br>
acl manager url_regex -i ^cache_object:// +i ^https?://[^/]+/squid-internal<wbr>-mgr/<br>
<br>
</blockquote>
<br></span>
The above line defines an ACL which matches requests for Squids internal cache management reports. For both the Squid-2+ and Squid-3.4+ management APIs.<br>
<br>
Your Squid version requires this to be configured. Current releases provide it as a built-in default ACL so you don't need to track or fix its definition changes during upgrade.<br>
<br>
...<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
http_access allow CONNECT localnet<br>
</blockquote>
<br>
Bad. All LAN clients are allowed to open arbitrary TCP connections (CONNECT tunnels) through the proxy *to anywhere* absolutely zero restrictions.<br>
<br>
The entire point of the "deny CONNECT !SSL_ports" and other default security rules is to prohibit attackers and infected LAN clients from using the proxy to spread nasty traffic around.<br>
<br>
To be useful those default security measure must be placed *first* in the http_access ordering and written exactly as provided in the default installation. Your own rules should be applied to the traffic which gets past those basic precautions.<span class="gmail-"><br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
http_access deny deny_websites<br>
http_access allow allowed_clients ncsa_users<br>
http_access deny !allowed_clients<br>
#http_access allow ncsa_users<br>
http_access allow manager localhost<br>
http_access deny manager<br>
http_access deny !Safe_ports<br>
#http_access deny CONNECT !SSL_ports<br>
http_access allow localhost<br>
#http_access allow localnet<br>
<br>
http_access deny all<br>
<br>
If the conf file is a mess, or has some problems, feel free to say so, as I don't know what all of the directives in it are for.  I marked a couple of lines I don't understand.  I would be happy for it to be optimized more if anyone has ideas.<br>
<br>
</blockquote>
<br></span>
I recommend you write your http_access something like so:<br>
<br>
<br>
 http_access deny !Safe_ports<br>
 http_access deny CONNECT !SSL_ports<span class="gmail-"><br>
 http_access allow manager localhost<br>
 http_access deny manager<br>
<br></span>
 # domains in deny_websites are DENIED for everybody.<br>
 http_access deny deny_websites<br>
<br>
 # domains in whitelist are ALLOWED for everybody<br>
 http_access allow whitelist<br>
<br>
 # port 4120 traffic is restricted to the above whitelisted domains<br>
 http_access deny portX<br>
<br>
 # otherwise; for port 3120 traffic ...<br>
<br>
 # only specific clients with whitelisted IPs can use the proxy ...<br>
 http_access deny !allowed_clients<br>
<br>
 # ... and must also login<br>
 http_access deny !ncsa_users<span class="gmail-"><br>
<br>
 http_access allow localnet<br>
<br>
 http_access deny all<br>
<br>
<br></span>
If the above still has the looping issue then I think the problem is related to how the Browser is using its TCP connections.<br>
<br>
Some Browsers used to open many parallel TCP connections and start requesting stuff immediately. But their internal credential handling seemed not to cope with the parallelism, treating the 2nd through Nth auth challenges as a sign that the 1st connections credentials were invalid.<br>
<br>
This was particularly bad for any Browsers configured to auto-load many tabs on startup. I've not heard of it happening in quite a while though, so it may be fixed in current Browsers. Or maybe they just handle tabs differently that does not trigger so easily.<div class="gmail-HOEnZb"><div class="gmail-h5"><br>
<br>
Amos<br>
______________________________<wbr>_________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.<wbr>org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/l<wbr>istinfo/squid-users</a><br>
</div></div></blockquote></div></div></div></div></div></div></div></div></div>