<div dir="ltr"><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">Picking up squid again and trying to look at what's going on inside..<br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small"><br>Squid on OpenWRT.. wanted to look at mgr:info for file desc, etc..<br><br>trying to access the cachemgr.cgi.. as this looks like the new squidclient <br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">Wasn't working etc.. <br><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">..<br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">debug_options ALL,2</div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">cache_log /tmp/squid_cache.log<br>..</div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">----------<br>2024/07/12 10:57:08.388| 33,2| client_side.cc(1646) clientProcessRequest: internal URL found: <a href="http://10.20.245.10:3128">http://10.20.245.10:3128</a><br>2024/07/12 10:57:08.388| 85,2| client_side_request.cc(715) clientAccessCheckDone: The request GET <a href="http://10.20.245.10:3128/squid-internal-mgr/menu">http://10.20.245.10:3128/squid-internal-mgr/menu</a> is DENIED; last ACL checked: Safe_ports<br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small"># EOF<br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">---------<br><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">Q: So I added 3128 to the Safe_ports.. and then it works.. <br><br><img src="cid:ii_lyitx4ya0" alt="image.png" width="537" height="243"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">Q: no password set for cachemgr_passwd.. cachemgr.cgi just open to the world? unsecured? <br><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">and is Process Filedescriptor Allocation the closest thing? <br><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">I (think) I remember something like max, in use, and something else.. being in mgr:info <br><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">fwiw openwrt starts squid with like 4096 max files.. <br><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">needed something like this:<br><br>..</div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">        procd_set_param file $CONFIGFILE<br>        procd_set_param limits nofile="262140 262140"<br>        procd_set_param respawn</div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">..<br><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">to set the hard and soft limits.. <br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">any better practice than adding 3128 to the 'Safe_ports'? (can't keep that in place..)<br><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">and setting a cachemgr_passwd would be the only thing to secure the cgi?<br><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">(am I missing something else?) <br><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small">Thank you in advance. <br></div></div>