<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:#0563C1;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:#954F72;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri",sans-serif;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="#0563C1" vlink="#954F72">

<div class="WordSection1">

<p class="MsoNormal">Good morning Squid Support, <o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I’ve been setting up a replacement Squid proxy server. <o:p>

</o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">After setting up the backend using realmD, sssd, with Kerberos authentication, I tested with a Windows “squidaduser” account. I can verify the user accounts connection to the proxy, and it is passing traffic. The issue is, it’s not being

 blocked by ANY of the acl’s we have in place. I was hoping to reach out to help me identify the issue with the squid.conf file. This is my assumption to be the issue but I am pretty new at using Linux and completely unfamiliar with setting up a web proxy.

<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Environment: <o:p></o:p></p>

<p class="MsoNormal">Squid Cache: Version 5.5<o:p></o:p></p>

<p class="MsoNormal">RHEL 9.4 on a HyperV VM <o:p></o:p></p>

<p class="MsoNormal">Linux Client Proxy in a Windows AD environment <o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Below I will post the config and attempt to edit out any relevant company/personal information:<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"># General<o:p></o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">max_filedesc 4096<o:p></o:p></p>

<p class="MsoNormal">cache_mgr ARCITAdmin@hexcel.com<o:p></o:p></p>

<p class="MsoNormal">cache_effective_user squid<o:p></o:p></p>

<p class="MsoNormal">cache_effective_group squid<o:p></o:p></p>

<p class="MsoNormal">shutdown_lifetime 5 seconds<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"># Logging<o:p></o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"># this makes the logs readable to humans<o:p></o:p></p>

<p class="MsoNormal">logformat custom %tl.%03tu %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt<o:p></o:p></p>

<p class="MsoNormal">access_log daemon:/var/log/squid/access.log custom<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">logfile_rotate 10<o:p></o:p></p>

<p class="MsoNormal">debug_options ALL,1<o:p></o:p></p>

<p class="MsoNormal">buffered_logs off<o:p></o:p></p>

<p class="MsoNormal">cache_log /var/log/squid/general<o:p></o:p></p>

<p class="MsoNormal">cache_access_log /var/log/squid/access.log<o:p></o:p></p>

<p class="MsoNormal">cache_store_log none<o:p></o:p></p>

<p class="MsoNormal">log_mime_hdrs off<o:p></o:p></p>

<p class="MsoNormal">strip_query_terms off<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"># Network - General/misc<o:p></o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"># our HTTP proxy port<o:p></o:p></p>

<p class="MsoNormal">http_port 10.46.11.69:8080<o:p></o:p></p>

<p class="MsoNormal"># loopback management<o:p></o:p></p>

<p class="MsoNormal">http_port 127.0.0.1:3128<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">icp_port 0<o:p></o:p></p>

<p class="MsoNormal">forwarded_for off<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"># Network timeout settings<o:p></o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">connect_timeout 30 seconds<o:p></o:p></p>

<p class="MsoNormal">peer_connect_timeout 20 seconds<o:p></o:p></p>

<p class="MsoNormal">read_timeout 2 minutes<o:p></o:p></p>

<p class="MsoNormal">request_timeout 2 minutes<o:p></o:p></p>

<p class="MsoNormal">persistent_request_timeout 30 seconds<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"># Configuration of the local cache itself<o:p></o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">cache_dir ufs /var/spool/squid/ 10000 16 256<o:p></o:p></p>

<p class="MsoNormal">coredump_dir /var/spool/squid/<o:p></o:p></p>

<p class="MsoNormal">cache_replacement_policy heap LFUDA<o:p></o:p></p>

<p class="MsoNormal">memory_replacement_policy lru<o:p></o:p></p>

<p class="MsoNormal">cache_mem 256 MB<o:p></o:p></p>

<p class="MsoNormal">maximum_object_size 32 MB<o:p></o:p></p>

<p class="MsoNormal">maximum_object_size_in_memory 512 KB<o:p></o:p></p>

<p class="MsoNormal">quick_abort_min 16 KB<o:p></o:p></p>

<p class="MsoNormal">quick_abort_max 1 MB<o:p></o:p></p>

<p class="MsoNormal">quick_abort_pct 90<o:p></o:p></p>

<p class="MsoNormal">range_offset_limit 64 KB<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"># Cache control<o:p></o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl no_cache_url url_regex -i "/etc/squid/no_cache_url"<o:p></o:p></p>

<p class="MsoNormal">cache deny no_cache_url<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"># Authentication<o:p></o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/squid/HTTP.keytab -s HTTP/<domain>.ad.<domain>.com@AD.<domain>.COM<o:p></o:p></p>

<p class="MsoNormal">auth_param negotiate children 10<o:p></o:p></p>

<p class="MsoNormal">auth_param negotiate keep_alive on<o:p></o:p></p>

<p class="MsoNormal">acl kerb-auth proxy_auth REQUIRED<o:p></o:p></p>

<p class="MsoNormal">http_access allow kerb-auth<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"># Access control - shared/common ACL definitions<o:p></o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"># acl all src all<o:p></o:p></p>

<p class="MsoNormal">acl src_self src 127.0.0.0/8<o:p></o:p></p>

<p class="MsoNormal">acl src_self src 10.46.11.69<o:p></o:p></p>

<p class="MsoNormal">acl dst_self dst 127.0.0.0/8<o:p></o:p></p>

<p class="MsoNormal">acl dst_self dst 10.46.11.69<o:p></o:p></p>

<p class="MsoNormal">acl from_arc src 10.46.0.0/15<o:p></o:p></p>

<p class="MsoNormal">acl local_dst_addr dst 10.0.0.0/8<o:p></o:p></p>

<p class="MsoNormal">acl local_dst_addr dst bldg3.<domain>.com<o:p></o:p></p>

<p class="MsoNormal">acl local_dst_addr dst bldg5.<domain>.com<o:p></o:p></p>

<p class="MsoNormal">acl local_dst_dom dstdomain <domain><o:p></o:p></p>

<p class="MsoNormal">acl proto_FTP proto FTP<o:p></o:p></p>

<p class="MsoNormal">acl proto_HTTP proto HTTP<o:p></o:p></p>

<p class="MsoNormal">acl localnet src 10.46.49.0/24            <o:p></o:p></p>

<p class="MsoNormal">acl localnet src 10.47.49.0/24            <o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl http_ports port 80     <o:p></o:p></p>

<p class="MsoNormal">acl http_ports port 81                     <o:p></o:p></p>

<p class="MsoNormal">acl http_ports port 8001                <o:p></o:p></p>

<p class="MsoNormal">acl http_ports port 8080                <o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl Ssl_ports port 443<o:p></o:p></p>

<p class="MsoNormal">acl Ssl_ports port 9571     <o:p></o:p></p>

<p class="MsoNormal">acl SSL_ports port 443<o:p></o:p></p>

<p class="MsoNormal">acl Safe_ports port 80                  <o:p></o:p></p>

<p class="MsoNormal">acl Safe_ports port 21                  <o:p></o:p></p>

<p class="MsoNormal">acl Safe_ports port 443                 <o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl ssh_ports port 22<o:p></o:p></p>

<p class="MsoNormal">acl ftp_ports port 21<o:p></o:p></p>

<p class="MsoNormal">http_access deny !Safe_ports<o:p></o:p></p>

<p class="MsoNormal">acl method_CONNECT method CONNECT<o:p></o:p></p>

<p class="MsoNormal">dsacl methods_std method GET HEAD POST PUT DELETE<o:p></o:p></p>

<p class="MsoNormal">acl methods_std method TRACE OPTIONS<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"># Access control - maintenance<o:p></o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl purge method PURGE<o:p></o:p></p>

<p class="MsoNormal">http_access allow purge src_self<o:p></o:p></p>

<p class="MsoNormal">http_access deny purge<o:p></o:p></p>

<p class="MsoNormal">acl cache_manager proto cache_object<o:p></o:p></p>

<p class="MsoNormal">cachemgr_passwd disabled shutdown offline_toggle<o:p></o:p></p>

<p class="MsoNormal">cachemgr_passwd none all<o:p></o:p></p>

<p class="MsoNormal">http_access allow cache_manager src_self<o:p></o:p></p>

<p class="MsoNormal">http_access deny cache_manager<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">#############################################################################<o:p></o:p></p>

<p class="MsoNormal"># Access control - general proxy<o:p></o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">http_access deny dst_self<o:p></o:p></p>

<p class="MsoNormal">http_access deny src_self<o:p></o:p></p>

<p class="MsoNormal">http_access deny !from_arc<o:p></o:p></p>

<p class="MsoNormal">http_access       allow local_dst_dom<o:p></o:p></p>

<p class="MsoNormal">http_reply_access           allow local_dst_dom<o:p></o:p></p>

<p class="MsoNormal">http_access       allow local_dst_addr<o:p></o:p></p>

<p class="MsoNormal">http_reply_access           allow local_dst_addr<o:p></o:p></p>

<p class="MsoNormal">acl authless_src src "/etc/squid/authless_src"<o:p></o:p></p>

<p class="MsoNormal">http_access       allow authless_src<o:p></o:p></p>

<p class="MsoNormal">http_reply_access           allow authless_src<o:p></o:p></p>

<p class="MsoNormal">acl authless_dst dstdomain "/etc/squid/authless_dst"<o:p></o:p></p>

<p class="MsoNormal">http_access       allow authless_dst<o:p></o:p></p>

<p class="MsoNormal">http_reply_access           allow authless_dst<o:p></o:p></p>

<p class="MsoNormal">acl bad_domains_preauth dstdomain "/etc/squid/bad_domains_preauth"<o:p></o:p></p>

<p class="MsoNormal">http_access deny bad_domains_preauth<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl block_user proxy_auth_regex -i "/etc/squid/block_user"<o:p></o:p></p>

<p class="MsoNormal">http_access deny block_user<o:p></o:p></p>

<p class="MsoNormal">acl bad_exception_urls url_regex -i "/etc/squid/bad_exception_urls"<o:p></o:p></p>

<p class="MsoNormal">acl exec_files url_regex -i "/etc/squid/exec_files"<o:p></o:p></p>

<p class="MsoNormal">acl exec_users proxy_auth_regex -i "/etc/squid/exec_users"<o:p></o:p></p>

<p class="MsoNormal">http_access deny !bad_exception_urls !exec_users exec_files<o:p></o:p></p>

<p class="MsoNormal">deny_info ERR_BLOCK_TYPE exec_files<o:p></o:p></p>

<p class="MsoNormal">acl mmedia_users proxy_auth_regex -i "/etc/squid/mmedia_users"<o:p></o:p></p>

<p class="MsoNormal">acl mmedia_sites dstdomain "/etc/squid/mmedia_sites"<o:p></o:p></p>

<p class="MsoNormal">http_access       allow methods_std    proto_HTTP http_ports mmedia_sites mmedia_users<o:p></o:p></p>

<p class="MsoNormal">http_reply_access allow methods_std    proto_HTTP http_ports mmedia_sites mmedia_users<o:p></o:p></p>

<p class="MsoNormal">http_access       allow method_CONNECT            ssl_ports  mmedia_sites mmedia_users<o:p></o:p></p>

<p class="MsoNormal">http_reply_access allow method_CONNECT            ssl_ports  mmedia_sites mmedia_users<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl bad_domains dstdomain "/etc/squid/bad_domains"<o:p></o:p></p>

<p class="MsoNormal">http_access deny !bad_exception_urls bad_domains<o:p></o:p></p>

<p class="MsoNormal">deny_info ERR_BLOCK_DST         bad_domains<o:p></o:p></p>

<p class="MsoNormal">acl bad_domains_regex dstdom_regex -i "/etc/squid/bad_domains_regex"<o:p></o:p></p>

<p class="MsoNormal">http_access deny !bad_exception_urls bad_domains_regex<o:p></o:p></p>

<p class="MsoNormal">deny_info ERR_BLOCK_DST         bad_domains_regex<o:p></o:p></p>

<p class="MsoNormal">acl bad_urls url_regex -i "/etc/squid/bad_urls"<o:p></o:p></p>

<p class="MsoNormal">http_access deny !bad_exception_urls bad_urls<o:p></o:p></p>

<p class="MsoNormal">deny_info ERR_BLOCK_DST         bad_urls<o:p></o:p></p>

<p class="MsoNormal">acl bad_files urlpath_regex -i "/etc/squid/bad_files"<o:p></o:p></p>

<p class="MsoNormal">http_access deny !bad_exception_urls bad_files <o:p></o:p></p>

<p class="MsoNormal">deny_info ERR_BLOCK_TYPE bad_files<o:p></o:p></p>

<p class="MsoNormal">acl bad_types rep_mime_type -i "/etc/squid/bad_types"<o:p></o:p></p>

<p class="MsoNormal">http_reply_access deny bad_types !bad_exception_urls<o:p></o:p></p>

<p class="MsoNormal">deny_info ERR_BLOCK_TYPE bad_types<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl fsoguest_user proxy_auth_regex -i fsoguest<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain .opm.gov<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain .google-analytics.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain pki.google.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain ajax.googleapis.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain fonts.googleapis.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain html5shiv.googlecode.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain fonts.gstatic.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain clients1.google.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain ajax.microsoft.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain ajax.aspnetcdn.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain .geotrust.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain .akamaihd.net<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain symcd.com<o:p></o:p></p>

<p class="MsoNormal">http_access allow methods_std proto_HTTP http_ports fsoguest_dst fsoguest_user<o:p></o:p></p>

<p class="MsoNormal">http_access allow method_CONNECT         ssl_ports  fsoguest_dst fsoguest_user<o:p></o:p></p>

<p class="MsoNormal">http_access deny fsoguest_user<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">http_access allow http_ports proto_HTTP methods_std<o:p></o:p></p>

<p class="MsoNormal">http_access allow method_CONNECT ssl_ports<o:p></o:p></p>

<p class="MsoNormal">http_access deny method_CONNECT<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">http_access allow ftp_ports proto_FTP<o:p></o:p></p>

<p class="MsoNormal">http_access deny all<o:p></o:p></p>

<p class="MsoNormal">http_reply_access allow all<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"># END OF FILE<o:p></o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

</div>

</body>

</html>