
<div dir="ltr"><div><div>Amos,<br><br></div>Understood.  I think it is all working correctly now.  Thank you!<br><br></div>PH<br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Dec 13, 2017 at 7:35 PM, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 14/12/17 11:32, Paul Hackmann wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Amos,<br>

<br>

I will do an update to the most recent version and see if that helps.  It was one of those situations where if it ain't broke, don't fix it.  And up until now, it has worked very well.<br>

<br>

You are right, I had brain fade about port 4120.  It should NOT ask for authentication ever, and only connect to whitelisted sites, which is what I want.<br>

<br>

I've made the changes you recommended to the conf file.  So far, everything seems to be working as I expect it to.  Thank you!<br>

<br>

One more question if you don't mind.  I am trying to add some ip addresses as whitelisted for port 4120.  I guess I can't add those to the whitelist file, because it's formatting doesn't work with IP addresses?<br>

</blockquote>

<br></span>

Sort of. dstdomain can accept IPs for matching against raw-IP text strings in URLs where domain should have been. But does not do ranges like you need there.<br>

<br>

So yes dst is the one to use there.<br>

<br>

However, be aware that it will match if *any* IPs for the domain being fetched is in your whitelist set. It has nothing to do with whether that matching dst-IP is actually used by Squid on the server connection.<br>

To workaround that is where explicitly configuring "never_direct allow all" comes in handy.<span class=""><br>

<br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

  I read that you can add them into the conf file.  I've created the following acl line:<br>

<br>

acl 8x8 dst <a href="http://8.5.248.0/23" rel="noreferrer" target="_blank">8.5.248.0/23</a> <a href="http://8.28.0.0/22" rel="noreferrer" target="_blank">8.28.0.0/22</a> <a href="http://63.209.12.0/24" rel="noreferrer" target="_blank">63.209.12.0/24</a> <a href="http://162.221.236.0/23" rel="noreferrer" target="_blank">162.221.236.0/23</a> <a href="http://162.221.238.0/23" rel="noreferrer" target="_blank">162.221.238.0/23</a> <a href="http://192.84.16.0/22" rel="noreferrer" target="_blank">192.84.16.0/22</a><br>

<br>

and I tried to add 8x8 to the the http_access line:<br>

<br>

http_access allow whitelist 8x8<br>

<br>

but when I did that, the 4120 port started asking for authentication, which is wrong. Can you tell me how to open those ip address ranges for port 4120?<br>

<br>

</blockquote>

<br></span>

Your use of http_access is not quite right.<br>

<br>

see <<a href="https://wiki.squid-cache.org/SquidFaq/SquidAcl#Common_Mistakes" rel="noreferrer" target="_blank">https://wiki.squid-cache.org/<wbr>SquidFaq/SquidAcl#Common_Mista<wbr>kes</a>><div class="HOEnZb"><div class="h5"><br>

<br>

<br>

Amos<br>

______________________________<wbr>_________________<br>

squid-users mailing list<br>

<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.<wbr>org</a><br>

<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/l<wbr>istinfo/squid-users</a><br>

</div></div></blockquote></div></div></div>