Qualquer host do cabeçalho "X-Forwarded-For" pode colocar informações incorretas no cabeçalho e o Squid usará estas informações incorretas como se fosse a fonte da requisição. Isto pode permitir que hosts remotos contornem as restrições de controle de acesso.

Por exemplo:


Default: follow_x_forwarded_for deny all


TAG: acl_uses_indirect_client on|off :: controla o acesso se o endereço indireto do cliente (veja follow_x_forwarded_for) for usado em vez do endereço direto.

Nota: a ACL maxconn considera que conexões TCP diretas e indiretas serão sempre zero, portanto, não corresponderão.

Default: acl_uses_indirect_client on


TAG: delay_pool_uses_indirect_client on|off

Nota: esta opção só estará disponível se o Squid for compilado com "--enable-follow-x-forwarded-for" e "--enable-delay-pools".

Controla o acesso se o endereço indireto do cliente (veja "follow_x_forwarded_for") for usado em vez do endereço direto em "delay pools".

Default: delay_pool_uses_indirect_client on


TAG: log_uses_indirect_client on|off :: controla o acesso se o endereço indireto do cliente (veja "follow_x_forwarded_for") for usado em vez do endereço direto em access log.

Default: log_uses_indirect_client on


TAG: tproxy_uses_indirect_client on|off :: controla o acesso se o endereço indireto do cliente (veja "follow_x_forwarded_for") for usado em vez do endereço direto no spoofing de saída do cliente.

Não tem efeito nas requisições que chegam no modo non-tproxy.

AVISO DE SEGURANÇA: o uso desta opção é perigosa e não deve ser usada trivialmente. A correta configuração de "follow_x_forewarded_for" deve ser usada com um conjunto limitado de fontes para evitar o abuso do proxy.

Default: tproxy_uses_indirect_client off


TAG: http_access :: permite ou nega o acesso com base em listas pré-definidas.

Acesso na porta HTTP:

• http_access allow|deny [!]aclname ...

NOTE sobre os valores padrões:

• Se não há linhas "access" presentes, o padrão é negar o acesso.
• Se nenhuma das linhas "access" corresponder, o padrão será o oposto da última linha na lista. Se a última linha negou o acesso, o padrão será permitir. Por outro lado, se a última linha permitiu o acesso, o padrão será negar. Por essa razão sempre tenha uma linha "deny all" no final das ACLs.

Suporta ACLs fast e slow. Para mais detalhes, veja:

• SquidFaq/SquidAcl - Squid Web Proxy Wiki

Default: http_access deny all

Configurações mínimas

Configurações mínimas recomendadas de permissões de acesso:

Somente permite o acesso do localhost ao "cachemgr":


Nega o acesso para determinadas portas inseguras:


Nega CONNECT para portas SSL inseguras:


Recomendamos, fortemente, descomentar a seguinte linha para proteger as aplicações web rodando no servidor proxy e permitindo o acesso ao localhost somente aos usuários da rede local: