<div dir="ltr">Hi Jonathan,<div>  the problem is: can you even see the HTTP being exchanged?</div><div>This requires TLS interception.</div><div><br></div><div>If you can, then it's relatively easy: you can to filter on (untested)</div><div><br></div><div>acl doh_post_ct Content-Type -i application/dns-message</div><div>acl doh_path_rfc8484 urlpath_regex ^/dns-query</div><div>acl doh_query_rfc8484 urlpath_regex dns=</div><div>acl doh_path_json urlpath_regex ^/resolve</div><div><br></div><div>http_access deny doh_post_ct doh_path_json</div><div>http_access deny doh_path_rfc8484 doh_query_rfc8484</div><div><br></div><div>If, however, you cannot inspect the HTTP payload in TLS, your only option is to blacklist all DOH providers by DNS name</div></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Sat, Jan 11, 2025 at 1:32 AM <<a href="mailto:jonathanlee571@gmail.com">jonathanlee571@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">acl deny_rep_mime_doh rep_mime_type application/dns-message<br>
<br>
for example would this work? I could get rid of a huge list and save memory if this solves my wackamole problem. I do not see anything on the Squid website but in theory that could resolve it right?<br>
<br>
-----Original Message-----<br>
From: <a href="mailto:jonathanlee571@gmail.com" target="_blank">jonathanlee571@gmail.com</a> <<a href="mailto:jonathanlee571@gmail.com" target="_blank">jonathanlee571@gmail.com</a>> <br>
Sent: Friday, January 10, 2025 2:54 PM<br>
To: 'squid-users' <<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a>><br>
Subject: RE: Squid url redirector and DoH<br>
<br>
I have this hair brained idea to use the media type and get rid of the endless list. <br>
<br>
Could this work?<br>
<br>
<a href="https://www.iana.org/assignments/media-types/media-types.xhtml" rel="noreferrer" target="_blank">https://www.iana.org/assignments/media-types/media-types.xhtml</a><br>
<br>
This lists mime types for doh with rfc 8484 and 8427 so technically could I just create a mime block for DoH and stop creating endless lists?<br>
<br>
<a href="https://www.iana.org/assignments/media-types/application/dns-message" rel="noreferrer" target="_blank">https://www.iana.org/assignments/media-types/application/dns-message</a><br>
<a href="https://www.iana.org/assignments/media-types/application/dns+json" rel="noreferrer" target="_blank">https://www.iana.org/assignments/media-types/application/dns+json</a><br>
<br>
<a href="https://wiki.squid-cache.org/ConfigExamples/BlockingMimeTypes" rel="noreferrer" target="_blank">https://wiki.squid-cache.org/ConfigExamples/BlockingMimeTypes</a><br>
<br>
<br>
<br>
-----Original Message-----<br>
From: Jonathan Lee <<a href="mailto:jonathanlee571@gmail.com" target="_blank">jonathanlee571@gmail.com</a>> <br>
Sent: Friday, January 10, 2025 2:38 PM<br>
To: squid-users <<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a>><br>
Subject: Squid url redirector and DoH<br>
<br>
Hello fellow Squid users, can you please help? I was wondering about this for years, I have a massive block list with DoH servers. Do you really need to block DoH if you want Squid to use a specific dns? Let’s say you are using a dns over tls, to Google or cloudflare and your system sometimes wants the DoH one.one.one.one is blocking that url really needed? My list is so big it is like playing wackamole with DoH. If I block it I see all the url requests if not I see IP addresses sometimes in the get requests. I must have a ACL with thousands and thousands of DoH servers in it. <br>
<br>
What is recommended with sites that want DoH however clients must use Squid per firewall ACLs? <br>
Sent from my iPhone<br>
<br>
<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>
<a href="https://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">https://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div><div><br clear="all"></div><div><br></div><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature">    Francesco</div>