<div dir="ltr">I run a home server under Centos 7 and squid 3.5.20. The config is still work in progress as I started only today. Any tipps&tricks are welcomed<div>The function is as expected when working from my LAN. But when I tested today from my cell phone from outside I received a few TCP_DENIED for web pages that are not part of the blacklists and I can access from my LAN.</div><div>I also tried a few apps (e.g. Twitter, Linkedin, etc..) and none worked. Underneath the config as-is.</div><div><br></div><div>Any idea why I cannot connect?</div><div>I have two more question I fiddled with and has no success:</div><div><ul><li>Is there a possibility to re-direct certain MACs from the LAN through Squid and others can go direct?</li><li>Is there a good howto that describes in detail how autdetect proxy works with wpad.dat. I want that when users are on LAN they go through squid, but when they are travelling they can go direct.</li></ul><div>Thanks for your help,</div></div><div><br></div><div>Wolfgang</div><div><br></div><div><br></div><div><br></div><div>#acl localnet src <a href="http://172.16.0.0/12">172.16.0.0/12</a>  # RFC1918 possible internal network<br>#acl localnet src <a href="http://192.168.0.0/16">192.168.0.0/16</a> # RFC1918 possible internal network<br>#acl localnet src fc00::/7       # RFC 4193 local private network range<br>#acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines<br><br>acl SSL_ports port 443<br>acl Safe_ports port 80          # http<br>acl Safe_ports port 21          # ftp<br>acl Safe_ports port 443         # https<br>acl Safe_ports port 70          # gopher<br>acl Safe_ports port 210         # wais<br>acl Safe_ports port 1025-65535  # unregistered ports<br>acl Safe_ports port 280         # http-mgmt<br>acl Safe_ports port 488         # gss-http<br>acl Safe_ports port 591         # filemaker<br>acl Safe_ports port 777         # multiling http<br>acl CONNECT method CONNECT<br># Add wo-lar LAN IP<br>acl lan src <a href="http://10.5.2.0/24">10.5.2.0/24</a><br><br># Basic user auth<br>#auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/.htpasswd<br>#auth_param basic children 5<br>#auth_param basic realm Squid Basic Authentication<br>#auth_param basic credentialsttl 5 hours<br>#acl password proxy_auth REQUIRED<br>#http_access allow password<br><br>#<br># Recommended minimum Access Permission configuration:<br>#<br># Deny requests to certain unsafe ports<br>#http_access deny !Safe_ports<br><br># Deny CONNECT to other than secure SSL ports<br>#http_access deny CONNECT !SSL_ports<br><br># Only allow cachemgr access from localhost<br>http_access allow localhost manager<br>http_access deny manager<br><br># We strongly recommend the following be uncommented to protect innocent<br># web applications running on the proxy server who think the only<br># one who can access services on "localhost" is a local user<br>#http_access deny to_localhost<br></div><div># INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS<br>#<br>acl allowdomains dstdomain "/etc/squid/whitelists/domains"<br>acl porn         dstdomain "/etc/squid/blacklists/porn/domains"<br>acl drugs        dstdomain "/etc/squid/blacklists/drugs/domains"<br>http_access allow allowdomains<br>http_access deny porn<br>http_access deny drugs<br><br># Example rule allowing access from your local networks.<br># Adapt localnet in the ACL section to list your (internal) IP networks<br># from where browsing should be allowed<br>http_access allow localhost<br>http_access allow lan<br><br># And finally deny all other access to this proxy<br>http_access deny all<br><br># Squid normally listens to port 3128<br>http_port 3128<br><br># Uncomment and adjust the following to add a disk cache directory.<br>#cache_dir ufs /var/spool/squid 100 16 256<br><br># Leave coredumps in the first cache dir<br>coredump_dir /var/spool/squid<br><br>#<br># Add any of your own refresh_pattern entries above these.<br>#<br>refresh_pattern ^ftp:           1440    20%     10080<br>refresh_pattern ^gopher:        1440    0%      1440<br>refresh_pattern -i (/cgi-bin/|\?) 0     0%      0<br>refresh_pattern .               0       20%     4320<br><br>request_header_access Referer deny all<br>request_header_access X-Forwarded-For deny all<br>request_header_access Via deny all<br>request_header_access Cache-Control deny all<br><br># do not display IP address<br>forwarded_for off<br><br># Virus check for downloads<br>icap_enable on<br>icap_send_client_ip on<br>icap_send_client_username on<br>icap_client_username_header X-Authenticated-User<br></div><div>icap_service service_req reqmod_precache bypass=1 icap://<a href="http://127.0.0.1:1344/squidclamav">127.0.0.1:1344/squidclamav</a><br>adaptation_access service_req allow all<br>icap_service service_resp respmod_precache bypass=1 icap://<a href="http://127.0.0.1:1344/squidclamav">127.0.0.1:1344/squidclamav</a><br>adaptation_access service_resp allow all<br></div><div><br></div><div><br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div><font face="arial, sans-serif">Wolfgang Rauchholz<br></font></div></div><div dir="ltr"><font face="arial, sans-serif">+34 627 994 977</font></div><div dir="ltr"><a href="https://www.linkedin.com/in/wolfgangrauchholz/" target="_blank">https://www.linkedin.com/in/wolfgangrauchholz/</a><br></div><div dir="ltr"><br></div></div></div></div></div></div></div></div>