<div dir="ltr">Correction: <br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 8, 2018 at 1:35 PM, Alex K <span dir="ltr"><<a href="mailto:rightkicktech@gmail.com" target="_blank">rightkicktech@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi Amos, <br><div class="gmail_extra"><br><div class="gmail_quote"><span class="gmail-">On Tue, May 8, 2018 at 8:55 AM, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-m_7826435683251076726gmail-">On 08/05/18 04:56, Alex K wrote:<br>
> Hi Amos,<br>
> <br>
</span><span class="gmail-m_7826435683251076726gmail-">> On Mon, May 7, 2018 at 7:30 PM, Amos Jeffries wrote:<br>
> <br>
>     On 08/05/18 00:24, Alex K wrote:<br>
>     > Hi all,<br>
>     > <br>
</span>...<br>
>     > acl localhost src <a href="http://192.168.200.1/32" rel="noreferrer" target="_blank">192.168.200.1/32</a> <<a href="http://192.168.200.1/32" rel="noreferrer" target="_blank">http://192.168.200.1/32</a>><br>
<span class="gmail-m_7826435683251076726gmail-">> <br>
>     192.168.200.1 is assigned to your lo interface?<br>
> <br>
> Yes, this is the IP of one of the interfaces of the device at the<br>
> network where the users use squid to reach Internet. <br>
> <br>
<br>
</span>No, I mean specifically the interface named "lo" which has ::1 and<br>
<a href="http://127.0.0.0/8" rel="noreferrer" target="_blank">127.0.0.0/8</a> assigned by the system. It has some special security<br>
properties like hardware restriction preventing globally routable IPs<br>
being used as dst-IP of packets even routed through it result in rejections.<br></blockquote></span><div>I have not assigned 192.168.200.1 at lo. It is assigned to an interface (eth3 for example). localhost is here misleading. it could say "proxy"<br></div><span class="gmail-"><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<span class="gmail-m_7826435683251076726gmail-"><br>
<br>
<br>
> <br>
>     > <br>
>     > acl SSL_ports port 443<br>
>     > acl Safe_ports port 80<br>
>     > acl Safe_ports port 21<br>
>     > acl Safe_ports port 443<br>
>     > acl Safe_ports port 10080<br>
>     > acl Safe_ports port 10443<br>
>     > acl SSL method CONNECT<br>
> <br>
>     The above can be quite deceptive,<br>
> <br>
> I removed port 21 as I don't think I am using FTP.<br>
>  <br>
<br>
</span>Sorry, I missed out the last half of that text. I was meaning the "SSL"<br>
ACL definition specifically. CONNECT method is not restricted to SSL<br>
protocol even when all you are doing is intercepting port 443 (think<br>
HTTP/2, WebSockets, QUIC, etc). It would be better to use the provided<br>
CONNECT ACL in place of "SSL" - they are identical in definition and<br>
CONNECT is clearer to see if/when some access control is not as tightly<br>
restricted as "SSL" would make it seem. </blockquote></span><div>You mean remove  "acl SSL method CONNECT" and leave only "acl CONNECT method CONNECT" ?<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
<br>
Cheers<br>
<span class="gmail-m_7826435683251076726gmail-HOEnZb"><font color="#888888">Amos<br>
</font></span></blockquote></div><br></div></div>
</blockquote></div><br></div></div>