<html>
  <head>

    <meta http-equiv="content-type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <p>Background: we are using Squid internally to replicate customer
      environments which require proxy transit for most if not all
      HTTP/REST comms, in order to facilitate bug replication and
      dev/test of software which must operate in those environments. <br>
    </p>
    <p>I would like to configure Squid with a set of allow-listed
      domains such that unauthenticated CONNECTs to sites within those
      domains succeed, _unless_ the following conditions are met: <br>
    </p>
    <ul>
      <li>if a client preemptively sends a Proxy-Authenticate header
        anyway, without first receiving a 407<br>
      </li>
      <li>_and_ that header is invalid (bad username/password,
        unsupported authN method, &c), <br>
      </li>
    </ul>
    <p>...in which case I want the CONNECT to get a standard 407
      response. <br>
    </p>
    <p>Is this conditional possible with Squid's ACL structure? I can't
      see a way to make it happen in Squid 3.5 running on Amazon linux,
      although I've discovered a couple new ways of generating
      authentication loops. :/ <br>
    </p>
    <p>    Thanks for any help/pointers, </p>
    <p>        Ole</p>
    <p>-- </p>
    <p>Ole Craig | <a class="moz-txt-link-abbreviated" href="mailto:olc@macmillan-craig.net">olc@macmillan-craig.net</a></p>
    <p>McQuary was far too generous.<br>
    </p>
  </body>
</html>