<div dir="ltr"><pre class="gmail-bz_comment_text" id="gmail-comment_text_0" style="white-space:pre-wrap;width:50em;color:rgb(0,0,0)"><span style="font-family:Arial,Helvetica,sans-serif">Hi </span><br></pre><pre class="gmail-bz_comment_text" id="gmail-comment_text_0" style="white-space:pre-wrap;width:50em;color:rgb(0,0,0)"><font face="arial, sans-serif">We recently shifted to squid 5.9 and started seeing errors in Transparent mode

SECURITY ALERT: Host header forgery detected on conn3615903 local=<a href="http://44.242.184.237:443">44.242.184.237:443</a> remote=<a href="http://10.109.176.240:8990">10.109.176.240:8990</a> FD 28029 flags=17 (local IP does not match any domain IP)

Previously we were using <a href="https://github.com/NethServer/dev/issues/5348" style="color:rgb(0,51,153)">https://github.com/NethServer/dev/issues/5348</a>. In addition we are using client_dst_passthru off. When building 5.9, the patch was not applied cleanly and we wanted to check if things worked without this patch. They did not work.

I did check the forum responses  <a href="https://wiki.squid-cache.org/KnowledgeBase/HostHeaderForgery" style="color:rgb(0,51,153)">https://wiki.squid-cache.org/KnowledgeBase/HostHeaderForgery</a>. and <a href="https://docs.diladele.com/faq/squid/host_header_forgery.html" style="color:rgb(0,51,153)">https://docs.diladele.com/faq/squid/host_header_forgery.html</a>. We already support explicit proxy but that is not always an option. We can create another patch to circumvent issues like  in <a href="https://github.com/NethServer/dev/issues/5348" style="color:rgb(0,51,153)">https://github.com/NethServer/dev/issues/5348</a>. But I wanted to know if there is a plan to make this check optional or there is some way we can workaround this problem without changing the code. Without this support, how can intercept mode work for any website which is behind a loadbalancer with multiple IPs.

Regards
Sachin</font></pre></div>