<html><body><style type="text/css">
<!--
div#d_1711509187659 p {font-family:Calibri, Arial, Helvetica, sans-serif; font-size:12.0pt; color:#1F497D}
-->
</style><div id = d_1711509187659 style="font-family:Calibri, Arial, Helvetica, sans-serif; font-size:12.0pt; color:#1F497D"><p dir="ltr" style="margin-top:0; margin-bottom:0;">Hi. </p>
<p dir="ltr" style="margin-top:0; margin-bottom:0;">The configuration is the exact copy between squid 5 and squid 6, nothing changes except the squid version. </p>
<p dir="ltr" style="margin-top:0; margin-bottom:0;">Any idea what can cause this issue on squid 6?</p>
<p dir="ltr" style="margin-top:0; margin-bottom:0;">Best regards </p>
<br>
<div id="signature-x" style="-webkit-user-select:none; font-family:Calibri, Arial, Helvetica, sans-serif; font-size:12.0pt; color:#1F497D">Sent from <a href="http://www.9folders.com/" style="text-decoration:none;color:#009BDF">Nine</a></div></div><div class="quoted_separate_body"/><div id="quoted_header" style="clear:both;"><hr style="border:none; height:1px; color:#E1E1E1; background-color:#E1E1E1;"/><div style="border:none; padding:3.0pt 0cm 0cm 0cm"><span style="font-size:11.0pt;font-family:'Calibri','sans-serif'"><b>De:</b> Alex Rousskov <rousskov@measurement-factory.com><br><b>Enviado:</b> segunda-feira, 25 de março de 2024 19:12<br><b>Para:</b> squid-users@lists.squid-cache.org<br><b>Assunto</b> Re: [squid-users] ACL / http_access rules stop work using Squid 6+<br></span></div></div><br type='attribution'></body></html><br><br><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-15">
<META NAME="Generator" CONTENT="Zarafa HTML builder 1.0">
<TITLE></TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT STYLE="font-family: courier" SIZE=2>
On 2024-03-22 09:38, Andre Bolinhas wrote:<br>
<br>
> In previous versions of squid, from 3 to 5.9, I use this kind of deny <br>
> rules and they work like charm<br>
> <br>
> acl AnnotateRule28 annotate_transaction accessrule=Rule28<br>
> http_access deny HTTP Group38 AnnotateRule28<br>
> <br>
> This allows me to deny objects without bump / show the error page <br>
> (deny_info)<br>
> <br>
> But using squid 6+ this rules stop to work and everything is allowed.<br>
> <br>
> Example:<br>
> Squid 5.9 (OK)<br>
> https://ibb.co/YdKgL1Y<br>
> <br>
> Squid 6.8 (NOK)<br>
> https://ibb.co/tbyY2GV<br>
> <br>
> Sample of both cache.log in debug mode<br>
> <br>
> https://we.tl/t-T7Nz1rVbVu<br>
<br>
<br>
In you v6 logs, most logged transactions are allowed because a rule <br>
similar to the one reconstructed below is matching:<br>
<br>
     http_access allow all AnnotateFinalAllow<br>
<br>
<br>
There are similar cases in v5 logs as well, but most denied v5 <br>
transactions match the following rule instead (i.e. the one you shared <br>
above):<br>
<br>
     http_access deny HTTP Group38 AnnotateRule28<br>
<br>
<br>
In your Squid configuration, v6 allow rule is listed much higher than v5 <br>
deny rule (#43 vs #149). I do not see any signs of Group38 or <br>
AnnotateRule28 ACL evaluation in v6 logs, as if the rule sets are <br>
different for two different Squid instances. Are you using the same set <br>
of http_access rules for both Squid versions?<br>
<br>
Alex.<br>
<br>
_______________________________________________<br>
squid-users mailing list<br>
squid-users@lists.squid-cache.org<br>
https://lists.squid-cache.org/listinfo/squid-users<br>
</FONT>
</P>

</BODY></HTML>