<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div>Hi,</div><div>    I'm trying to use a Squid 3.1.20 to update several Windows Clientes (some are Vista, some are 7, some are 10).</div><div>    We're using NTLM authentication, and some groups (some users can use full internet, some can only on some sites) and this is working fine. <br></div><div>    The issue arises when trying to update Windows, using automatic updates. We see, on the log files, messages like the following: <br></div><div><br></div><div>1550954462.404      0 192.168.42.121 TCP_DENIED/407 3980 GET <a href="http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab">http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab</a>? - NONE/- text/html<br>1550954462.410      0 192.168.42.121 TCP_DENIED/407 4261 GET <a href="http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab">http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab</a>? - NONE/- text/html<br>1550954462.415      0 192.168.42.121 TCP_DENIED/407 4635 GET <a href="http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab">http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab</a>? - NONE/- text/html<br></div><div>   <br></div><div>    Some aspects concerns me...first of all, that our users cannot update Windows. But then I noticed there is no user on that connection, as we have in other: <br></div><div><br></div><div>1550954433.432    581 192.168.62.58 TCP_MISS/200 2853 CONNECT <a href="http://gameplay.intel.com:443">gameplay.intel.com:443</a> <b>jperez</b> DIRECT/<a href="http://23.198.191.99">23.198.191.99</a> -<br></div><div><br></div><div>    I don't know if this is a known issue, or not...anybody can point me in the right direction to understand the nature of this issue, and how to solve/mitigate it?</div><div><br></div><div>    Thanks a lot in advance for your time and attention and best regards,</div><div><br></div><div>---</div><div>Some information about this installation: <br></div><div><br></div><div>root@pxyserver:/var/log/squid3# squid3 -version<br>Squid Cache: Version 3.1.20<br>configure options:  '--build=i486-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_lm,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--enable-wccpv2' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=i486-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security' --with-squid=/build/buildd-squid3_3.1.20-2.2-i386-3NN6Xn/squid3-3.1.20<br><br></div><div>/etc/squid3/squid.conf: <br></div><div><br></div><div>cache_mgr cache@mydomain.local<br>auth_param negotiate program /usr/local/bin/negotiate_wrapper --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --domain=MYDOMAIN --kerberos /usr/lib/squid3/squid_kerb_auth -d -s GSS_C_NO_NAME<br>auth_param negotiate children 10<br>auth_param negotiate keep_alive off<br>auth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --domain=MYDOMAIN<br>auth_param ntlm children 10<br>auth_param ntlm keep_alive off<br>auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b "dc=mydomain,dc=local" -D squid@mydomain.local -W /etc/squid3/ldappass.txt -f sAMAccountName=%s -h ARBERN005M.mydomain.local<br>auth_param basic children 10<br>auth_param basic realm Internet Proxy<br>auth_param basic credentialsttl 1 minute<br>external_acl_type memberof %LOGIN /usr/lib/squid3/squid_ldap_group -R -K -b "dc=mydomain,dc=local" -D squid@mydomain.local -W /etc/squid3/ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%g,cn=Users,dc=mydomain,dc=local))" -h ARBERN005M.mydomain.local<br>acl company src "/etc/squid3/full"<br>acl limitados src "/etc/squid3/limitados"<br>acl lentos src "/etc/squid3/lento"<br>acl all src all<br>acl manager proto cache_object<br>acl localhost src <a href="http://127.0.0.1/32">127.0.0.1/32</a><br>acl to_localhost dst <a href="http://127.0.0.0/8">127.0.0.0/8</a><br>acl purge method PURGE<br>acl dnld url_regex -i \.avi<br>acl dnld url_regex -i \.mp3<br>acl dnld url_regex -i \.fla<br>acl dnld url_regex -i \.flv<br>acl dnld url_regex -i \.wav<br>acl dnld url_regex -i \.asf<br>acl dnld url_regex -i \.wmf<br>acl dnld url_regex -i \.pif<br>acl dnld url_regex -i \.bat<br>acl dnld url_regex -i \.scr<br>acl dnld url_regex -i \.wdm<br>acl dnld url_regex -i \.wmv<br>acl dnld url_regex -i \.mid<br>acl dnld url_regex -i \.mpg<br>acl dnld url_regex -i \.mpg<br>acl dnld url_regex -i \.mpeg<br>acl dnld url_regex -i \.ogg<br>acl dnld url_regex -i \.ogm<br>acl dnld url_regex -i \.exe<br>acl dnld url_regex -i \.arj<br>acl dnld url_regex -i \.iso<br>acl dnld url_regex -i \.nrg<br>acl dnld url_regex -i \.bin<br>acl dnld url_regex -i \.dmg<br>acl dnld url_regex -i \.img<br>acl dnld url_regex -i \.pl<br>acl dnld_full url_regex -i \.avi<br>acl dnld_full url_regex -i \.mp3<br>acl dnld_full url_regex -i \.wav<br>acl dnld_full url_regex -i \.asf<br>acl dnld_full url_regex -i \.wmf<br>acl dnld_full url_regex -i \.mpg<br>acl dnld_full url_regex -i \.mpg<br>acl dnld_full url_regex -i \.mpeg<br>acl dnld_full url_regex -i \.ogg<br>acl dnld_full url_regex -i \.ogm<br>acl streaming browser -i ^.*NSPlayer.*<br>acl streaming browser -i ^.*Player.*<br>acl streaming browser -i ^.*Windows-Media-Player.*<br>acl streaming1 browser -i ^video/x-ms-asf$<br>acl streaming1 browser -i ^application/vnd.ms.wms-hdr.asfv1$<br>acl streaming1 browser -i ^application/x-mms-framed$<br>acl streaming1 browser -i ^audio/x-pn-realaudio$<br>acl streaming1 browser ^.*mms.*<br>acl streaming1 browser ^.*ms-hdr.*<br>acl streaming1 browser ^.*x-fcs.*<br>acl streaming1 browser ^.*x-ms-asf.*<br>acl streaming1 browser -i ^application/octet-stream$<br>acl streaming1 browser -i application/octet-stream<br>delay_pools 1<br>delay_class 1 1<br>delay_parameters 1 1000/100<br>acl dp url_regex \.flv$<br>acl dp url_regex -i watch?<br>acl dp url_regex -i youtube<br>acl dp url_regex -i facebook<br>delay_access 1 allow dp lentos<br>acl auth proxy_auth REQUIRED<br>acl internet_full       external memberof "/etc/squid3/internet_full.txt"<br>acl internet_limitado   external memberof "/etc/squid3/internet_limitado.txt"<br>acl internet_limitado2  external memberof "/etc/squid3/internet_limitado2.txt"<br>acl destinos_permitidos         dstdomain "/etc/squid3/destinos_permitidos"<br>acl destinos_permitidos2        dstdomain "/etc/squid3/destinos_permitidos2"<br>acl sitios_denegados            dstdomain "/etc/squid3/sitios_denegados"<br>acl prohibidos                  dstdomain "/etc/squid3/prohibidos.txt"<br>acl prohibidos-full             dstdomain "/etc/squid3/prohibidos-full.txt"<br>acl intfull-                    dstdomain "/etc/squid3/intfull-"<br>acl allowedsites        dstdomain "/etc/squid3/allowedsites.txt"<br>acl manager proto cache_object<br>acl SSL_ports port 443<br>acl CONNECT method CONNECT<br>http_access allow manager localhost<br>http_access deny manager<br>http_access allow localhost<br>http_access deny !auth<br>http_access deny sitios_denegados all<br>http_access allow allowedsites<br>http_access allow limitados !dnld !streaming !streaming1 !sitios_denegados<br>http_access allow !dnld !streaming !streaming1 destinos_permitidos internet_limitado<br>http_access allow !dnld !streaming !streaming1 destinos_permitidos2 internet_limitado2<br>http_access allow !dnld_full !streaming !streaming1 !prohibidos-full internet_full<br>http_access deny all<br>access_log /var/log/squid3/access.log squid !allowedsites<br>http_port 3128<br>hierarchy_stoplist cgi-bin ?<br>coredump_dir /var/spool/squid3<br>refresh_pattern ^ftp:           1440    20%     10080<br>refresh_pattern ^gopher:        1440    0%      1440<br>refresh_pattern -i (/cgi-bin/|\?) 0     0%      0<br>refresh_pattern .               0       20%     4320<br><br><br></div><div><br></div><div>-- <br></div><div><div dir="ltr" class="gmail_signature">HeCSa</div></div></div></div></div></div></div>