
<div dir="ltr"><div>hi Amos,</div><div><br></div><div>thank you for getting back to me about this :)</div><div><br></div><div>this is my new config</div><div><br></div><div>#<br>#SSL<br>http_port 3128 ssl-bump \<br>cert=/usr/local/squid/etc/ssl_cert/myCA.pem \<br>generate-host-certificates=on dynamic_cert_mem_cache_size=4MB<br>sslcrtd_program /usr/local/squid/libexec/security_file_certgen -s /var/lib/ssl_db -M 4MB<br>acl step1 at_step SslBump1<br>ssl_bump peek step1<br>ssl_bump bump all<br><br>#Windows Updates<br>acl windowsupdate dstdomain "/usr/local/squid/etc/wu.txt"<br>acl CONNECT method CONNECT<br>acl wuCONNECT dstdomain "/usr/local/squid/etc/wu.txt"<br>http_access allow CONNECT wuCONNECT<br>http_access allow windowsupdate<br><br>#<br># Recommended minimum configuration:<br>#<br><br># Example rule allowing access from your local networks.<br># Adapt to list your (internal) IP networks from where browsing<br># should be allowed<br>acl localnet src 0.0.0.1-0.255.255.255 # RFC 1122 "this" network (LAN)<br>acl localnet src <a href="http://10.0.0.0/8">10.0.0.0/8</a>            # RFC 1918 local private network (LAN)<br>acl localnet src <a href="http://100.64.0.0/10">100.64.0.0/10</a>         # RFC 6598 shared address space (CGN)<br>acl localnet src <a href="http://169.254.0.0/16">169.254.0.0/16</a>        # RFC 3927 link-local (directly plugged) machines<br>acl localnet src <a href="http://172.16.0.0/12">172.16.0.0/12</a>              # RFC 1918 local private network (LAN)<br>acl localnet src <a href="http://192.168.0.0/16">192.168.0.0/16</a>               # RFC 1918 local private network (LAN)<br>acl localnet src fc00::/7            # RFC 4193 local private network range<br>acl localnet src fe80::/10           # RFC 4291 link-local (directly plugged) machines<br><br>acl SSL_ports port 443<br>acl Safe_ports port 80             # http<br>acl Safe_ports port 21          # ftp<br>acl Safe_ports port 443          # https<br>acl Safe_ports port 70         # gopher<br>acl Safe_ports port 210               # wais<br>acl Safe_ports port 1025-65535  # unregistered ports<br>acl Safe_ports port 280           # http-mgmt<br>acl Safe_ports port 488            # gss-http<br>acl Safe_ports port 591             # filemaker<br>acl Safe_ports port 777            # multiling http<br>acl CONNECT method CONNECT<br><br>#<br># Recommended minimum Access Permission configuration:<br>#<br># Deny requests to certain unsafe ports<br>http_access deny !Safe_ports<br><br># Deny CONNECT to other than secure SSL ports<br>http_access deny CONNECT !SSL_ports<br><br># Only allow cachemgr access from localhost<br>http_access allow localhost manager<br>http_access deny manager<br><br># We strongly recommend the following be uncommented to protect innocent<br># web applications running on the proxy server who think the only<br># one who can access services on "localhost" is a local user<br>#http_access deny to_localhost<br><br>#<br># INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS<br>#<br><br># Example rule allowing access from your local networks.<br># Adapt localnet in the ACL section to list your (internal) IP networks<br># from where browsing should be allowed<br>http_access allow localnet<br>http_access allow localhost<br><br># Uncomment and adjust the following to add a disk cache directory.<br>#cache_dir ufs /usr/local/squid/var/cache/squid 100 16 256<br><br># Leave coredumps in the first cache dir<br>coredump_dir /usr/local/squid/var/cache/squid<br><br>#<br># Add any of your own refresh_pattern entries above these.<br>#<br>refresh_pattern ^ftp:                1440    20%     10080<br>refresh_pattern ^gopher: 1440    0%      1440<br>refresh_pattern -i (/cgi-bin/|\?) 0       0%      0<br>refresh_pattern .            0       20%     4320</div><div><br></div><div>the reason why i have added the windows update lines at the beginning is that the link says so (below)</div><div><br></div><div><a href="https://linuxnlenux.wordpress.com/2014/10/14/howto-allow-windows-updates-through-squid/">https://linuxnlenux.wordpress.com/2014/10/14/howto-allow-windows-updates-through-squid/</a></div><div><br></div><div>this is my domain list</div><div><br></div><div>#Microsoft<br>.<a href="http://bing.com">bing.com</a><br>.<a href="http://msn.com">msn.com</a><br>.<a href="http://msedge.net">msedge.net</a><br>.<a href="http://msftauth.net">msftauth.net</a><br>.<a href="http://msauth.net">msauth.net</a><br>.<a href="http://msocdn.com">msocdn.com</a><br>.<a href="http://outlook.com">outlook.com</a><br>.<a href="http://onedrive.com">onedrive.com</a><br>.<a href="http://office.net">office.net</a><br>.<a href="http://office.com">office.com</a><br>.<a href="http://office365.com">office365.com</a><br>.<a href="http://microsoft.com">microsoft.com</a><br>.<a href="http://microsoftonline.com">microsoftonline.com</a><br>.<a href="http://c.s-microsoft.com">c.s-microsoft.com</a><br>.<a href="http://live.com">live.com</a><br>.<a href="http://live.net">live.net</a><br>.<a href="http://akamaized.net">akamaized.net</a><br>.<a href="http://akamaihd.net">akamaihd.net</a><br>.<a href="http://svc.ms">svc.ms</a><br>.<a href="http://lync.com">lync.com</a><br>.<a href="http://skype.com">skype.com</a><br>.<a href="http://gfx.ms">gfx.ms</a><br>.<a href="http://sharepoint.com">sharepoint.com</a><br>.<a href="http://sharepointonline.com">sharepointonline.com</a><br>.<a href="http://windowsupdate.com">windowsupdate.com</a><br>.<a href="http://windows.net">windows.net</a><br>.<a href="http://edgesuite.net">edgesuite.net</a><br>.<a href="http://a-msedge.net">a-msedge.net</a><br>.<a href="http://akamaiedge.net">akamaiedge.net</a><br>.<a href="http://sfx.ms">sfx.ms</a><br>.<a href="http://azureedge.net">azureedge.net</a><br>.<a href="http://trafficmanager.net">trafficmanager.net</a><br>.<a href="http://azure.com">azure.com</a><br>#Google<br>.<a href="http://google.com">google.com</a><br>.<a href="http://google.co.uk">google.co.uk</a><br>.<a href="http://googleusercontent.com">googleusercontent.com</a><br>.<a href="http://googleapis.com">googleapis.com</a><br>.<a href="http://withgoogle.com">withgoogle.com</a><br>.<a href="http://gstatic.com">gstatic.com</a><br>#Adobe<br>.<a href="http://adobedtm.com">adobedtm.com</a><br>.<a href="http://adobe.io">adobe.io</a><br>.<a href="http://adobe.com">adobe.com</a><br>.<a href="http://adobelogin.com">adobelogin.com</a></div><div><br></div><div>and when im looking at the logs real time</div><div><br></div><div>1576368417.620     48 10.100.1.5 NONE/200 0 CONNECT <a href="http://fe3cr.delivery.mp.microsoft.com:443">fe3cr.delivery.mp.microsoft.com:443</a> - HIER_DIRECT/<a href="http://191.232.139.2">191.232.139.2</a> -<br>1576368417.647      0 10.100.1.5 NONE/503 4363 POST <a href="https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx">https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx</a> - HIER_NONE/- text/html<br>1576368419.702      0 - TCP_MEM_HIT/200 807 GET <a href="http://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Product%20Root%20Certificate%20Authority%202018.crt">http://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Product%20Root%20Certificate%20Authority%202018.crt</a> - HIER_NONE/- application/octet-st<br>ream</div><div><br></div><div>squid works fine just as you said on certain apps/programs, so im really struggling on this one</div><div><br></div><div>thanks,</div><div>rob<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, 14 Dec 2019 at 22:35, Amos Jeffries <<a href="mailto:squid3@treenet.co.nz">squid3@treenet.co.nz</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 15/12/19 4:21 am, robert k Wild wrote:<br>

> so this is my config file -<br>

> <br>

> #<br>

> # Recommended minimum configuration:<br>

> #<br>

> <br>

> #SSL<br>

> http_port 3128 ssl-bump \<br>

> cert=/usr/local/squid/etc/ssl_cert/myCA.pem \<br>

> generate-host-certificates=on dynamic_cert_mem_cache_size=4MB<br>

<br>

> sslcrtd_program /usr/local/squid/libexec/security_file_certgen -s<br>

> /var/lib/ssl_db -M 4MB<br>

<br>

> acl step1 at_step SslBump1<br>

> ssl_bump peek step1<br>

> ssl_bump bump all<br>

> <br>

<br>

(elided default localnet and port ACL definitions)<br>

<br>

> <br>

> #<br>

> # Recommended minimum Access Permission configuration:<br>

> #<br>

> # Deny requests to certain unsafe ports<br>

> http_access deny !Safe_ports<br>

> <br>

> # Deny CONNECT to other than secure SSL ports<br>

> http_access deny CONNECT !SSL_ports<br>

> <br>

> # Only allow cachemgr access from localhost<br>

> http_access allow localhost manager<br>

> http_access deny manager<br>

> <br>

> # We strongly recommend the following be uncommented to protect innocent<br>

> # web applications running on the proxy server who think the only<br>

> # one who can access services on "localhost" is a local user<br>

> #http_access deny to_localhost<br>

> <br>

> #<br>

> # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS<br>

> #<br>

<br>

  ^^^ HINT.<br>

<br>

> <br>

> # Example rule allowing access from your local networks.<br>

> # Adapt localnet in the ACL section to list your (internal) IP networks<br>

> # from where browsing should be allowed<br>

> http_access allow localnet<br>

> http_access allow localhost<br>

> <br>

> # Squid normally listens to port 3128<br>

> http_port 3128<br>

> <br>

<br>

This is the second port 3128 config, and it does not match the earlier one.<br>

<br>

<br>

> <br>

> as you can see i have removed the whitelist/mime config lines<br>

> <br>

> but when i come into activating office it just cant get online to do it<br>

> via the client app installed on my pc<br>

<br>

If that is still happening with this default config I would be starting<br>

to suspect things outside of Squid. Like firewall or routing rules, the<br>

client app not supporting proxies properly - stuff like that.<br>

<br>

Though 403 in the proxy log does indicate an explicitly forbidden<br>

action. The way you truncated the log line cut away most of the useful<br>

info that points at where to focus the troubleshooting efforts.<br>

<br>

<br>

> <br>

> but internet isnt blocked as i can go to any website<br>

> <br>

<br>

Do you want it to work with the whitelisting ACL you mentioned?<br>

<br>

If yes, then you do need to show at least the http_access directives<br>

using it and the exact entry you added for the <a href="http://microsoft.com" rel="noreferrer" target="_blank">microsoft.com</a> domain(s).<br>

<br>

Same for the "mime" config lines you mention, but for those any part of<br>

it could be relevant so we will need to see the whole of that stuff.<br>

<br>

<br>

You have omitted the default "http_access deny all" which should be the<br>

last http_access line in your config. Not a problem in the config as<br>

shown, but if you have other rules they can change the implicit default<br>

into a bad situation very easily.<br>

<br>

<br>

<br>

Amos<br>

_______________________________________________<br>

squid-users mailing list<br>

<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>

<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>

</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr">Regards, <br><br>Robert K Wild.<br></div></div>