<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hi folks,<div><br></div><div>First off, I'll make the requisite disclaimer that I'm a squid newbie. I've been banging my head against this problem for nearly a week--trial and error, google searches, FAQ reviews, etc. Like Obi-Wan Kenobi, you guys are my last resort! :)</div><div><br></div><div>I have a deployment in AWS in where a VPC has a transparent proxy deployed, which forwards 80/443 requests to a parent proxy in another VPC, which I then need to forward to another parent proxy (SaaS provider).</div><div><br></div><div>Essentially:</div><div>[[Client PC]] --> [[Squid Proxy (10.52.0.20)]] --> [[Parent Squid Proxy (10.52.0.168)]] --> [[Parent SaaS Proxy]]</div><div><br></div><div>This is being done to centralize proxy functions and limit the number of public IPs that the parent SaaS needs to whitelist.</div><div><br></div><div>I'm getting "Access Denied" messages and a review of Squid Parent proxy access.log shows the following common errors:</div><div><br></div><div>HTTP:</div><div><div>2018/11/27 16:22:54 kid1| WARNING: Forwarding loop detected for:</div><div>GET / HTTP/1.1</div><div>Accept: text/html, application/xhtml+xml, image/jxr, */*</div><div>Accept-Language: en-US</div><div>User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko</div><div>Accept-Encoding: gzip, deflate</div><div>Cookie: B=8nra62ldvb83a&b=3&s=ik</div><div>Via: 1.1 squid (squid/3.5.27)</div><div>X-Forwarded-For: 10.184.0.26</div><div>Cache-Control: max-age=259200</div><div>Connection: keep-alive</div><div>Host: <a href="http://www.yahoo.com">www.yahoo.com</a></div></div><div><br></div><div>HTTPS:</div><div>2018/11/27 16:21:51 kid1| SECURITY ALERT: Host header forgery detected on local=<a href="http://10.52.0.168:8443">10.52.0.168:8443</a> remote=<a href="http://10.52.0.20:45520">10.52.0.20:45520</a> FD 15 flags=33 (intercepted port does not match 443)<br></div><div><div>2018/11/27 16:21:51 kid1| SECURITY ALERT: on URL: <a href="http://13.82.28.61:443">13.82.28.61:443</a></div></div><div><br></div><div>Here are the various squid.conf files and iptables configurations:</div><div><br></div><div>[[Transparent Proxy]]:</div><div>visible_hostname squid</div><div>http_port 3129 intercept</div><div>https_port 3130 cert=/etc/squid/ssl/squid.pem ssl-bump intercept</div><div>acl HTTP_PORT port 80</div><div>acl HTTPS_PORT port 443</div><div>http_access allow all</div><div>ssl_bump splice</div><div>dns_v4_first on</div><div>#cache_peer <a href="http://proxy.threatpulse.net">proxy.threatpulse.net</a> parent 8080 0 name=symantec_http no-query proxy-only default</div><div>cache_peer 10.52.0.168 parent 8443 0 name=symantec_http no-query proxy-only default</div><div>cache_peer_access symantec_http allow HTTP_PORT</div><div>cache_peer_access symantec_http allow HTTPS_PORT</div><div>never_direct allow all</div><div><br></div><div><div>Chain PREROUTING (policy ACCEPT 32 packets, 1704 bytes)</div><div> pkts bytes target     prot opt in     out     source               destination</div><div>   30  1560 REDIRECT   tcp  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            tcp dpt:80 redir ports 3129</div><div>   89  4628 REDIRECT   tcp  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            tcp dpt:443 redir ports 3130</div><div><br></div><div>Chain INPUT (policy ACCEPT 131 packets, 6852 bytes)</div><div> pkts bytes target     prot opt in     out     source               destination</div><div><br></div><div>Chain OUTPUT (policy ACCEPT 660 packets, 58073 bytes)</div><div> pkts bytes target     prot opt in     out     source               destination</div><div><br></div><div>Chain POSTROUTING (policy ACCEPT 680 packets, 59113 bytes)</div><div> pkts bytes target     prot opt in     out     source               destination</div></div><div><br></div><div>[[Squid Parent Proxy]]:<br></div><div><div>visible_hostname squid</div><div>http_port 3129 intercept</div><div>https_port 3130 cert=/etc/squid/ssl/squid.pem ssl-bump intercept</div><div>http_port 3031 cert=/etc/squid/ssl/squid.pem ssl-bump intercept</div><div>acl HTTP_PORT port 80</div><div>acl HTTPS_PORT port 443</div><div>acl FORWARD_PORT port 8443</div><div>http_access allow all</div><div>ssl_bump splice</div><div>cache_peer <a href="http://proxy.threatpulse.net">proxy.threatpulse.net</a> parent 8080 0 name=symantec_http no-query proxy-only default</div><div>cache_peer_access symantec_http allow HTTP_PORT</div><div>cache_peer_access symantec_http allow HTTPS_PORT</div><div>cache_peer_access symantec_http allow FORWARD_PORT</div><div>never_direct allow all</div></div><div><br></div><div><div>Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)</div><div> pkts bytes target     prot opt in     out     source               destination</div><div>    0     0 REDIRECT   tcp  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            tcp dpt:80 redir ports 3129</div><div>    0     0 REDIRECT   tcp  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            tcp dpt:443 redir ports 3130</div><div>   35  2100 REDIRECT   tcp  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            tcp dpt:8443 redir ports 3031</div><div><br></div><div>Chain INPUT (policy ACCEPT 35 packets, 2100 bytes)</div><div> pkts bytes target     prot opt in     out     source               destination</div><div><br></div><div>Chain OUTPUT (policy ACCEPT 2 packets, 121 bytes)</div><div> pkts bytes target     prot opt in     out     source               destination</div><div><br></div><div>Chain POSTROUTING (policy ACCEPT 2 packets, 121 bytes)</div><div> pkts bytes target     prot opt in     out     source               destination</div></div><div><br></div><div>---</div><div><br></div><div>Any thoughts or suggestions are greatly appreciated. Thanks for your time!</div><div><br></div><div>-Phillip</div></div></div></div></div></div></div></div></div>