<div dir="ltr"><div dir="ltr">Excellent Amos! <br>I have to admit that I was approaching that conclusion. I did exactly as you told me and problem solved.</div><div dir="ltr">I will consider your recommendations when I need to add more rules.<br>Best regards!<br><br>Gabriel</div></div><br><div class="gmail_quote"><div dir="ltr">El lun., 1 de oct. de 2018 a la(s) 18:04, Amos Jeffries (<a href="mailto:squid3@treenet.co.nz">squid3@treenet.co.nz</a>) escribió:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2/10/18 9:28 AM, neok wrote:<br>
> As far as I know, nothing's changed. The only thing that could have happened<br>
> is that Chrome was updated. I'm reviewing that.<br>
> <br>
> This say Firefox when try acces to denied site:<br>
> The proxy server is refusing connections.<br>
> Firefox is configured to use a proxy server that is refusing connections.<br>
> <br>
<br>
As you an see from the access.log Squid is presenting 407 auth<br>
challenged in response to these CONNECT requests.<br>
<br>
It is welcome news to hear Chrome is finally been fixed to actually<br>
perform authentication for CONNECT tunnels. While it may have been okay<br>
with you the previous behaviour is actually a long-standing Browser bug<br>
and violation of HTTP on their part.<br>
<br>
<br>
<br>
<br>
On 2/10/18 8:53 AM, neok wrote:<br>
><br>
> Now Chrome shows me the login window every time I visit a denied site.<br>
> I suspect Chrome has been updated and changed its behavior. I'm currently<br>
> studying that possibility.<br>
> I'm also rethinking whether the way I'm denying sites is the right one.<br>
<br>
...<br>
><br>
> http_access allow WEB_ACCESS_YT_ONLY LS_youtube<br>
> http_access deny WEB_ACCESS_YT_ONLY<br>
<br>
The "deny WEB_ACCESS_YT_ONLY" line is triggering the re-authentication.<br>
<br>
When the reason for denial is due to credentials (ie %LOGIN for the<br>
external ACL evaluation) a 407 authentication challenge is produced.<br>
<br>
Notice that in the config I helped you develop a few days ago all the<br>
other uses of these external ACL tests for "deny" action are followed by<br>
another ACL test that is unrelated to the auth process. Usually a regex<br>
or dstdomain check. It is these other ACL checks which prevent any of<br>
those lines triggering similar auth challenges as they deny traffic.<br>
<br>
<br>
Since the next thing your config is doing is a "deny all" you can remove<br>
this "deny WEB_ACCESS_YT_ONLY" line entirely and the popups should<br>
disappear while still having that traffic denied.<br>
<br>
<br>
If you have other config policies to be added later there are some other<br>
things you can do. But those will depend on what the other policies are<br>
going to require, so I wont cover it now. Just be aware you may have to<br>
revisit that YT access rule when adding other policies.<br>
<br>
<br>
Amos<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div>