<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:#0563C1;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:#954F72;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri",sans-serif;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="#0563C1" vlink="#954F72">

<div class="WordSection1">

<p class="MsoNormal">Hello Squid Support, <o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">We upgraded our Squid Web Proxy from 2.5 to 5.5 recently. After working out a few issues with backend services and authentication, our client can finally browse the web and adhere to all of the ACL rules and lists as expected.

<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">The problem we’re having now is that we’re unable to access local resources on different subnets. For instance, our “main” networks are 10.46.x.x and 10.47.x.x, but the proxy is blocking us when we try to get to 172.26.x.x as well as 10.96.x.x.

 When comparing our current config to the old, they are very nearly identical, and the old config works with no issue. Is there some change from 2.5 -> 5.5 that would stop some of our allow/deny rules from working as expected? Or maybe I need to open up the

 ACL’s a bit more or define those subnets explicitly now? <o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I can post our config below, I’ll skip the sections that most likely don’t pertain to the issue.

<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"># Authentication<o:p></o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/squid/HTTP.keytab -s HTTP/<domain>.ad.<domain>.com@AD.<domain>.COM<o:p></o:p></p>

<p class="MsoNormal">auth_param negotiate children 10<o:p></o:p></p>

<p class="MsoNormal">auth_param negotiate keep_alive on<o:p></o:p></p>

<p class="MsoNormal">acl kerb-auth proxy_auth REQUIRED<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"># Access control - shared/common ACL definitions<o:p></o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"># acl all src all<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl src_self src 127.0.0.0/8<o:p></o:p></p>

<p class="MsoNormal">acl src_self src 10.46.11.69<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl dst_self dst 127.0.0.0/8<o:p></o:p></p>

<p class="MsoNormal">acl dst_self dst 10.46.11.69<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl from_arc src 10.46.0.0/16<o:p></o:p></p>

<p class="MsoNormal">acl from_arc src 10.46.0.0/15<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl local_dst_addr dst 10.0.0.0/8<o:p></o:p></p>

<p class="MsoNormal">acl local_dst_addr dst bldg3.<domain>.com<o:p></o:p></p>

<p class="MsoNormal">acl local_dst_addr dst bldg5.<domain>.com<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"># not sure what this does <o:p></o:p></p>

<p class="MsoNormal">acl local_dst_dom dstdomain <proxy hostname><o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"># protocols <o:p></o:p></p>

<p class="MsoNormal">acl proto_FTP proto FTP<o:p></o:p></p>

<p class="MsoNormal">acl proto_HTTP proto HTTP           <o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"># TCP ports for HTTP<o:p></o:p></p>

<p class="MsoNormal">acl http_ports port 80     <o:p></o:p></p>

<p class="MsoNormal">acl http_ports port 81                     <o:p></o:p></p>

<p class="MsoNormal">                <o:p></o:p></p>

<p class="MsoNormal"># TCP ports for HTTPS<o:p></o:p></p>

<p class="MsoNormal">acl ssl_ports port 443                 <o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl ssh_ports port 22<o:p></o:p></p>

<p class="MsoNormal">acl ftp_ports port 21<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"># HTTP methods<o:p></o:p></p>

<p class="MsoNormal">acl method_CONNECT method CONNECT<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"># what are these used for? <o:p></o:p></p>

<p class="MsoNormal">dsacl methods_std method GET HEAD POST PUT DELETE<o:p></o:p></p>

<p class="MsoNormal">acl methods_std method TRACE OPTIONS<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">#############################################################################<o:p></o:p></p>

<p class="MsoNormal"># Access control - general proxy<o:p></o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">http_access deny dst_self<o:p></o:p></p>

<p class="MsoNormal">http_access deny src_self<o:p></o:p></p>

<p class="MsoNormal">http_access deny !from_arc<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">http_access       allow local_dst_dom<o:p></o:p></p>

<p class="MsoNormal">http_reply_access           allow local_dst_dom<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">http_access       allow local_dst_addr<o:p></o:p></p>

<p class="MsoNormal">http_reply_access           allow local_dst_addr<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl authless_src src "/etc/squid/authless_src"<o:p></o:p></p>

<p class="MsoNormal">http_access       allow authless_src<o:p></o:p></p>

<p class="MsoNormal">http_reply_access           allow authless_src<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl authless_dst dstdomain "/etc/squid/authless_dst"<o:p></o:p></p>

<p class="MsoNormal">http_access       allow authless_dst<o:p></o:p></p>

<p class="MsoNormal">http_reply_access           allow authless_dst<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl bad_domains_preauth dstdomain "/etc/squid/bad_domains_preauth"<o:p></o:p></p>

<p class="MsoNormal">http_access deny bad_domains_preauth<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl block_user proxy_auth_regex -i "/etc/squid/block_user"<o:p></o:p></p>

<p class="MsoNormal">http_access deny block_user<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl bad_exception_urls url_regex -i "/etc/squid/bad_exception_urls"<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl exec_files url_regex -i "/etc/squid/exec_files"<o:p></o:p></p>

<p class="MsoNormal">acl exec_users proxy_auth_regex -i "/etc/squid/exec_users"<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">http_access deny !bad_exception_urls !exec_users exec_files<o:p></o:p></p>

<p class="MsoNormal">deny_info ERR_BLOCK_TYPE exec_files<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl mmedia_users proxy_auth_regex -i "/etc/squid/mmedia_users"<o:p></o:p></p>

<p class="MsoNormal">acl mmedia_sites dstdomain "/etc/squid/mmedia_sites"<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">http_access       allow methods_std    proto_HTTP http_ports mmedia_sites mmedia_users<o:p></o:p></p>

<p class="MsoNormal">http_reply_access allow methods_std    proto_HTTP http_ports mmedia_sites mmedia_users<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">http_access       allow method_CONNECT            ssl_ports  mmedia_sites mmedia_users<o:p></o:p></p>

<p class="MsoNormal">http_reply_access allow method_CONNECT            ssl_ports  mmedia_sites mmedia_users<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl bad_domains dstdomain "/etc/squid/bad_domains"<o:p></o:p></p>

<p class="MsoNormal">http_access deny !bad_exception_urls bad_domains<o:p></o:p></p>

<p class="MsoNormal">deny_info ERR_BLOCK_DST         bad_domains<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl bad_domains_regex dstdom_regex -i "/etc/squid/bad_domains_regex"<o:p></o:p></p>

<p class="MsoNormal">http_access deny !bad_exception_urls bad_domains_regex<o:p></o:p></p>

<p class="MsoNormal">deny_info ERR_BLOCK_DST         bad_domains_regex<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl bad_urls url_regex -i "/etc/squid/bad_urls"<o:p></o:p></p>

<p class="MsoNormal">http_access deny !bad_exception_urls bad_urls<o:p></o:p></p>

<p class="MsoNormal">deny_info ERR_BLOCK_DST         bad_urls<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl bad_files urlpath_regex -i "/etc/squid/bad_files"<o:p></o:p></p>

<p class="MsoNormal">http_access deny !bad_exception_urls bad_files <o:p></o:p></p>

<p class="MsoNormal">deny_info ERR_BLOCK_TYPE bad_files<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl bad_types rep_mime_type -i "/etc/squid/bad_types"<o:p></o:p></p>

<p class="MsoNormal">http_reply_access deny bad_types !bad_exception_urls<o:p></o:p></p>

<p class="MsoNormal">deny_info ERR_BLOCK_TYPE bad_types<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">acl fsoguest_user proxy_auth_regex -i fsoguest<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain .opm.gov<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain .google-analytics.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain pki.google.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain ajax.googleapis.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain fonts.googleapis.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain html5shiv.googlecode.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain fonts.gstatic.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain clients1.google.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain ajax.microsoft.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain ajax.aspnetcdn.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain .geotrust.com<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain .akamaihd.net<o:p></o:p></p>

<p class="MsoNormal">acl fsoguest_dst dstdomain symcd.com<o:p></o:p></p>

<p class="MsoNormal">http_access allow methods_std proto_HTTP http_ports fsoguest_dst fsoguest_user<o:p></o:p></p>

<p class="MsoNormal">http_access allow method_CONNECT         ssl_ports  fsoguest_dst fsoguest_user<o:p></o:p></p>

<p class="MsoNormal">http_access deny fsoguest_user<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">http_access allow http_ports proto_HTTP methods_std<o:p></o:p></p>

<p class="MsoNormal">http_access allow method_CONNECT ssl_ports<o:p></o:p></p>

<p class="MsoNormal">http_access deny method_CONNECT<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"># catch-all<o:p></o:p></p>

<p class="MsoNormal">http_access allow ftp_ports proto_FTP<o:p></o:p></p>

<p class="MsoNormal">http_access allow kerb-auth<o:p></o:p></p>

<p class="MsoNormal">http_access deny all<o:p></o:p></p>

<p class="MsoNormal">http_reply_access allow all<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

<p class="MsoNormal"># END OF FILE<o:p></o:p></p>

<p class="MsoNormal">##############################################################################<o:p></o:p></p>

</div>

</body>

</html>