> Куда копать? Возможно ли исправить? Причем желательно в том же режиме accel
> все работало.

Если я правильно понял вопрос,

Сквид работает, как и задумано/положено: в прозрачном режиме нет соединеия - это нет соединения с удалённым сервером, а не html-страница от _левого сервера.

Может, с SslBump как-то по-другому.

> 2013/10/30 17:24:20| clientProcessRequest: Invalid Request

1 - после этих строк точно больше нет сообщений? Может еще что пишет?
2 - релиз сквид вы взяли не самый удачный. У нас с версией 3.1.20 были траблы, сейчас уже не помню точно, с какими-то определенными сайтами были траблы, поставили 3.2.7. Советую и вам поставить посвежее, или 3.2.x или 3.3.x
3 - сквид у вас прозрачный? Если да, прозрачность в 3 версии описывается совсем по-другому. Некоторые опции изменены в конфиге.

Ну народ пошёл! Блин, совсем обленились в гугль транслейт сходить!
Давай я за тебя переведу.

#  TAG: request_header_access
#    Использование: request_header_access header_name allow|deny [!]aclname ...
#
#    ПРЕДУПРЕЖДЕНИЕ: Использование этой опции НАРУШАЕТ стандарт HTTP.
#    Включение этой функции может сделать вас ответственным за проблемы,
#    которые она вызывает.
#
#    Эта опция заменяет старую опцию 'anonymize_headers' и 'http_anonymizer'
#    чем-то, что гораздо более настраиваемо.
#    Этот новый метод создает список ACL для каждого заголовка, позволяя вам
#    очень тонко настраивать коверканье (изменение) заголовка.
#
#    Этот параметр применяется только для заголовков запроса, то есть от
#    клиента к серверу.
#
#    Можно указать только известные заголовки в названии заголовка.
#    Другие заголовки переводятся в категорию 'Other'. Вы можете также
#    сослаться сразу на все заголовки 'All'.
#
#    Например, чтобы добиться такого же поведения, как старой опцией
#    'http_anonymizer standard', вы должны использовать:
#
#        request_header_access From deny all
#        request_header_access Referer deny all
#        request_header_access Server deny all
#        request_header_access User-Agent deny all
#        request_header_access WWW-Authenticate deny all
#        request_header_access Link deny all
#
#    Или, чтобы воспроизвести старую функцию 'http_anonymizer paranoid'
#    вы должны использовать:
#
#        request_header_access Allow allow all
#        request_header_access Authorization allow all
#        request_header_access WWW-Authenticate allow all
#        request_header_access Proxy-Authorization allow all
#        request_header_access Proxy-Authenticate allow all
#        request_header_access Cache-Control allow all
#        request_header_access Content-Encoding allow all
#        request_header_access Content-Length allow all
#        request_header_access Content-Type allow all
#        request_header_access Date allow all
#        request_header_access Expires allow all
#        request_header_access Host allow all
#        request_header_access If-Modified-Since allow all
#        request_header_access Last-Modified allow all
#        request_header_access Location allow all
#        request_header_access Pragma allow all
#        request_header_access Accept allow all
#        request_header_access Accept-Charset allow all
#        request_header_access Accept-Encoding allow all
#        request_header_access Accept-Language allow all
#        request_header_access Content-Language allow all
#        request_header_access Mime-Version allow all
#        request_header_access Retry-After allow all
#        request_header_access Title allow all
#        request_header_access Connection allow all
#        request_header_access All deny all
#
#    хотя многие из них являются HTTP заголовками ответа, и, поэтому, должны
#    контролироваться директивой reply_header_access.
#
#    По умолчанию, все заголовки разрешены (выполняется
#    не анонимизация).
#По умолчанию:
# none

#  TAG: reply_header_access
#    Использование: reply_header_access header_name allow|deny [!]aclname ...
#
#    ПРЕДУПРЕЖДЕНИЕ: Использование этой опции НАРУШАЕТ стандарт HTTP.
#    Включение этой функции может сделать вас ответственным за проблемы,
#    которые она вызывает.
#
#    Эта опция применима только к заголовкам ответа, т. е. от сервера к клиенту.
#
#    Это то же самое, как request_header_access, но в другом направлении.
#
#    Эта опция заменяет старую опцию 'anonymize_headers' и 'http_anonymizer'
#    чем-то, что гораздо более настраиваемо.
#    Этот новый метод создает список ACL для каждого заголовка, позволяя вам
#    очень тонко настраивать коверканье (изменение) заголовка.
#
#    Можно указать только известные заголовки в названии заголовка.
#    Другие заголовки переводятся в категорию 'Other'. Вы можете также
#    сослаться сразу на все заголовки 'All'.
#
#    Например, чтобы добиться такого же поведения, как старой опцией
#    'http_anonymizer standard', вы должны использовать:
#
#        reply_header_access From deny all
#        reply_header_access Referer deny all
#        reply_header_access Server deny all
#        reply_header_access User-Agent deny all
#        reply_header_access WWW-Authenticate deny all
#        reply_header_access Link deny all
#
#    Или, чтобы воспроизвести старую функцию 'http_anonymizer paranoid'
#    вы должны использовать:
#
#        reply_header_access Allow allow all
#        reply_header_access Authorization allow all
#        reply_header_access WWW-Authenticate allow all
#        reply_header_access Proxy-Authorization allow all
#        reply_header_access Proxy-Authenticate allow all
#        reply_header_access Cache-Control allow all
#        reply_header_access Content-Encoding allow all
#        reply_header_access Content-Length allow all
#        reply_header_access Content-Type allow all
#        reply_header_access Date allow all
#        reply_header_access Expires allow all
#        reply_header_access Host allow all
#        reply_header_access If-Modified-Since allow all
#        reply_header_access Last-Modified allow all
#        reply_header_access Location allow all
#        reply_header_access Pragma allow all
#        reply_header_access Accept allow all
#        reply_header_access Accept-Charset allow all
#        reply_header_access Accept-Encoding allow all
#        reply_header_access Accept-Language allow all
#        reply_header_access Content-Language allow all
#        reply_header_access Mime-Version allow all
#        reply_header_access Retry-After allow all
#        reply_header_access Title allow all
#        reply_header_access Connection allow all
#        reply_header_access All deny all
#
#    хотя HTTP заголовки запроса не будут эффективно контролироваться
#    этой директивой -- см. request_header_access для деталей.
#
#    По умолчанию, все заголовки разрешены (выполняется
#    не анонимизация).
#По умолчанию:
# none

Теперь понятно?

Думаю, что для параноиков, этого будет вполне достаточно.

request_header_access All deny all
reply_header_access All deny all

forwarded_for

>TCP_DENIED/407 3085 GET http:

Пятью темами ниже
"".ASMX блокирует SQUID

http://www.opennet.dev/openforum/vsluhforumID12/7042.html

Отмена смены пароля к учетным записям компьютеров не относится
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Wind...
Все равно нужно запускать раз в месяц
msktutil --auto-update --verbose --computer-name squidproxy-k

> Lj,hsq ltym uehe!
> Всем привет)
> Появилась необходимость одной WEB программке выходить в инет.
> но мой SQUID ее блочит!
> в логах  192.168.100.81 NONE/417 5008 POST http://webdemand.Lup.com/rd/chnp/Service.asmx
> - NONE/- text/html
> мои блокировки заканчиваются на ВКОНТАКТЕ, ОДНОКЛАСННИКАХ и скачивании mp3 & avi.
> Жду совета!
> если необходимо могу выложить все конфиги squid

http://jskyworker.blogspot.ru/2011/06/squid-3-none417-post.html
http://www.mail-archive.com/squid-users@squid-cache.org...

> Здравствуйте. Инсталлировал CentOS 6.4, squid-3.1.10-19.el6_4.i686. В squid.conf
> ..
> acl RootUser src "/etc/squid/squidblock/users/root.users"
> acl Download_in_RootUsers src "/etc/squid/squidblock/users/download_allow.users"
> acl BadUsers src "/etc/squid/squidblock/users/bad.users"
> acl skype_users src "/etc/squid/squidblock/users/skype.users"
> acl LocalNetwork src "/etc/squid/squidblock/users/local.users"
> acl GPF_LocalNetwork src "/etc/squid/squidblock/users/local.gpf.users"

пустые строки в конце файла у всех есть?
попробуйте оставлять по одному файлу и перезапускать.
увеличить уровень логирования

на самом деле он удаляет даже root:root 0000
ах*еть
а если с верхней диры убрать -w, то уже не даёт удалять

Глянь вот эту статейку http://macrodmin.blogspot.ru/2012/07/squid-active-directory.... возможно я ошибаюсь,но тебе что-то типо такого и нужно.
Если я правильно понял,то ты хочешь чтоб все изменения по по уровню доступа юзеров происходили путем перемещения их из одной группы в другую в AD?

Итак!
Всем доброго здравия.
Звучал вопрос, в одном из сообщений, как у меня успехи с моей задачей, вот я готов написать.

Заработало, что я могу сказать.

В Active Directory:
Созданы 3 дополнительные группы:
InetUs - нельзя запрещенные
InetVIP - нельзя запрещенные, кроме небольшого списка разрешенных
InetFull - Можно все.

На FreeBSD сделано следующее:
Ну естественно поднята самба, настроен керберос и конечно же сквид. Описывать полностью конфиги не буду, не к чему, все прекрасно понимают и знают что там написать, а те кто не знают, курите маны или читайте статьи, их полно и все на русском.
В squid.conf были удалены все acl-ы и добавлены следующие:

# Авторизация в домене по NTLM и Basic для тех, что не смог авторизоваться по ntlm, так происходит.
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 150
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 50
auth_param basic realm DeltaPlans's Squid Beast
auth_param basic credentialsttl 8 hours
auth_param basic casesensitive off
..........
# Описываю acl-ы, комментарии излишни, итак все понятно
acl _acl_Access_Denied url_regex -i "/usr/local/etc/squid/regulations/Access.Denied"
acl _acl_Access_Allow_VIP url_regex -i "/usr/local/etc/squid/regulations/Access.Allow.VIP"
acl _sams_local_ip dst "/usr/local/etc/squid/local_ip.sams"
# Получаем группы из AD
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
# Описываю acl-ы для групп
acl Full external nt_group InetFull
acl Medium external nt_group InetVIP
acl Low external nt_group InetUs
...........
acl nt_group proxy_auth REQUIRED
...........
# Описываю доступы и запреты групп AD по спискам сайтов
http_access deny Low _acl_Access_Denied  
http_access allow Medium _acl_Access_Allow_VIP
http_access deny Medium _acl_Access_Denied
http_access allow Low
http_access allow Medium
http_access allow Full
http_access allow localnet
http_access deny !Safe_ports  
...........
Далее все стандартно.
После этого /usr/local/etc/rc.d/squid reload и проверяем, Все работает.

http_access allow !media OFFICE

Не ?

>[оверквотинг удален]
> acl mimeblock rep_mime_type -i ^audio
> #http_access deny mediapr
> #http_reply_access deny media
> C acl, приведенными сверху, группа VIP работает отлично.
> А с acl OFFICE, пользователям из группы OFFICE вообще ничего не доступно:
> обращаясь на любой веб-сайт, получаю страницу squid: Доступ запрещен. И так
> абсолютно везде.
> Если просто заинклюдить(include) файл deny_flash.conf в конфиг squid, то flash блокируется
> как и положено, но для всех. А мне нужно только для
> группы OFFICE. Помогите, пожалуйста.

Народ, откликнитесь, прошу. Уже и ни спать не могу, ни есть. С работы уволят, трое детей дома голодных =( =)

У вас и не будет работать интернет не для VIP.

Для начала неправильно в этом месте
> acl media url_regex "/etc/squid/deny_flash.conf"
> Файлик: /etc/squid/deny_flash.conf
> acl media rep_mime_type video/flv video/x-flv
> acl mediapr urlpath_regex \.flv(\?.*)?$
> acl media rep_mime_type application/x-shockwave-flash
> acl mediapr urlpath_regex \.swf(\?.*)?$
> acl mimeblock rep_mime_type -i ^video
> acl mimeblock rep_mime_type -i ^audio

прочтите логи там 100% ругается на эту конструкцию.
Вынесите из файла в основной конфиг и сделайте примерно так:

acl allusers proxy_auth REQUIRED
http_access allow VIP
http_access deny media
http_access deny mediarp
http_access deny mimeblock
http_access allow OFFICE
http_access deny all

Попутно прочтите
http://www.squid-cache.org/Doc/config/acl/
http://www.squid-cache.org/Doc/config/http_access/

> можно легко залочить неугодные мне сайты. Но как быть с Https траффиком?
> можно ли не имеят прозрачный https лочить CONNECT? Если да, то как?

acl CONNECT method CONNECT
http_access deny CONNECT

Пока ты не спросил, не все, а _только "неудгодные тебе" https-ы блочить "чуть" сложнее:
http://wiki.squid-cache.org/Features/SslBump

> Заранее благодарен за ответы

> В чем проблема не подскажете? Заранее спасибо.

Запросы от него _в _логе _сквида есть?
Сервис перезапускал после изменения конфига?
Сервис _точно запускается с этим конфигом?

если в конце есть правило запрещающее интернет, то запрос пароля будет выскакивать у всех, кто сразу не передал пароль. В домене всегда сначала передаются ntlm-параметры, и пароль не запрашивается если авторизация проходит нормально.

> Салют. Сейчас squid настроил таким оразом, что все пользователи в домене аутентифицируются
> с помощью kerberos и с помощью squid_ldap_group получают свой разграниченный долбанный
> интернет.
> Но, остался вопрос. Для тех, кто не в домене, можно ли выдавать
> запрос логина/пароля, после ввода которого пользователь (входящий в соответствующую группу)
> получал свой долбанно-разграниченный интернет?
> Предполагаю, что нужно использовать ntlm-авторизацию, но где-то тут читал, что сквид использует
> первую попавшуюся ему схему авторизации. Может можно в существующий конфиг добавить
> какую-то строчку, чтобы запросило логин и пароль для пользователя? (Хотя из
> мира фантастики чето).

Нативно использовать ntlm авторизацию. В конце правил проверки учетных данных по basic схеме

> Стоит задача прозрачно авторизовать пользователей в домене. Но только для того чтобы
> в лог падал имя пользователя.
> При этом не доменные пользователи должны работать без авторизации.
> Так вот если аксес лист первым идет с авторизацией а второй для
> подсетки, то не доменным пользователям вываливается окно с запросом логина и
> пароля.
> А если наоборот то в лог не падает имя пользователя.
> Прописывать до авторизации пользователей IP адреса машин не в домене тоже не
> подходит, ибо они могут меняться.
> Может кто знает как выйти из ситуации?

попробуй поставить на прокси режим транспарент , те кто не в домене ручками прописывай шлюз(там еще ИП таблес нужно будет чуть чуть подкрутить),  а те кто в АД скриптом в прокси сервер на стандартный порт ... и будет тебе счастье )

> Стоит задача прозрачно авторизовать пользователей в домене. Но только для того чтобы
> в лог падал имя пользователя.
> При этом не доменные пользователи должны работать без авторизации.
> Так вот если аксес лист первым идет с авторизацией а второй для
> подсетки, то не доменным пользователям вываливается окно с запросом логина и
> пароля.
> А если наоборот то в лог не падает имя пользователя.
> Прописывать до авторизации пользователей IP адреса машин не в домене тоже не
> подходит, ибо они могут меняться.
> Может кто знает как выйти из ситуации?

Что у вас за acl такой? Мне как раз нужно, чтобы не доменным пользователям вываливалось окно с логином и паролем.

>[оверквотинг удален]
> The remote host or network may be down. Please try the request
> again.
> access.log говорит
>  TCP_MISS/504 1413 GET http://site/ - DIRECT/- text/html
> httpd-error.log apache молчит
> httpd-access.log apache молчит
> Как я ето вижу, сквид пытается получить сайт а оно ему отвечает
> нет ибо не дал логин.
> На етом все.
> Подскажите как решить данную проблемму?

1 - Не видя ваших правил сквида трудно сказать в чем у вас проблема. Смотрите порядок правил сквида и запреты сайтов, возможно у вас стоит список разрешенных сайтов, где локальный не указан. Если в логе написано именно так - http://site/. Это значит, что сквид не может отрезолвить это имя - site и вам нужно разбираться с  dns и нэймсерверами, которые вы используете для скевида.
2 - Обычно для локальных сайтов фирмы в браузерах прописывают исключекния, дабы работало быстрее и не считался трафик для них. Фича в браузерах  - Не использовать прокси для локальных адресов и указывают IP сети. Настройка отличается для IE и для Мозиллы
в IE - 192.168.0.*
в FF - 192.168.0.0/24

> Народ имеется freebsd прокси с внутренним 192.168.1.1,3128 и внешний канал допустим с
> адресом 195.190.100.200. Как в обход сквида выходить в инет по какому-нибудь
> статическому ip (например 192.168.1.11).
> Данная функция реализована кем-то раньше работавшим для одного ip  (этот ип
> обходит squid), но не могу на прокси-машине найти правило форвардинга, ни
> в squid.conf, ни в файерволле, и работник тот благополучно испарился

Смотрите правила фаервола в плане NAT для конкретного IP. Сквид тут не при делах.

> Добрый день. Прошу Вас помочь разобраться с настройками squid. У меня есть
> несколько подсетей, для них уже есть рабочие правила и настройки. Но,
> у меня появилась необходимость сделать доступ по паролю в интернет только
> для одного компьютера в сети, так как он удаленный, работает через
> VPN и с ограниченным трафиком. Находил авторизацию через домен и для
> всех пользователей. Но мне надо только для одного компьютера и всё.
> Помогите, подскажите.
> Спасибо

Как то так

acl vpn_ip src 192.168.127.10
acl vpn_user proxy_auth REQUIRED
http_access allow vpn_ip vpn_user

ну и настраиваете любую аутентификацию - ncsa, ldap, ntlm, etc ...

> Приветствую!
> В ближайшее время планирую переделывать фряшный шлюз. На данный момент используется связка
> сквид+сквидгард в прозрачном режиме для http. Для работы некоторых ресурсов https
> открываю порты правилами фаервола (соответственно никаких логов их посещения пользователями
> не вижу). Хочу переводить всех на обычный режим (не транспарент), для
> того, чтобы через сквид было доступно также https проксирование. Возник вопрос
> - реально ли сделать раздельную обработку сквидгардом пользовательских обращений? Требуется,
> чтобы http ресурсы работали по чёрному списку (можно все, что не
> запрещено блокировками), а https ресурсы по белому списку (можно только то,
> что разрешено).

Привязвыай аксели на порты к акселям разрешения/запрета.
acl SSL443 port 443
acl sites  dstdomain  .sbrf.ru .vtb24.ru
http_access SSL443 sites
http_access deny all
-------------------
на 80 порт по аналогии, предварительно включить аксели на запреты.

> Добрый день, есть сервер на Ubuntu 10.10 на нем Squid с ncsa
> авторизацией + Sams. Теперь надо добавить проверку по MAC-ам без привязки
> MAC-а к логину или IP, подскажите как прикрутить к Squid-овскому конфигу
> файл с собсно MAC-ами (их чуть более пятисот)
> P.S. Заранее извиняюсь за возможно глупый вопрос но помощь очень нужна ибо
> с Линуксом только начал дружить.

acl umacs arp /etc/squid/my.users.macs

  и перед всеми остальными http_access

http_access deny !umacs

В файле -- посторочно маки.

>[оверквотинг удален]
> Есть прокси, есть сервер введенный в домен (wbinfo на все что хочешь
> отвечает хорошо);
> Но авторизация через ntlm_helper не работает, даже
> проверка как то странно отвечает, не по faq'у (http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm):
> ввожу в командной строке:
> /usr/lib/squid3/ntlm_auth --helper-protocol=squid-2.5-basic
> а он мне выдает полную справку по хелперу, и предлагает указывать в
> команде мой домен, я его указываю, действие повторяется....
> ничего не пойму. Подскажите кто знает?!
> ubuntu 12.04-serv

на примере в дебиане

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

Не сталкивался лично, но в документации ясно сказано, что rep_mime_type не предназначен для  http_access.

rep_mime_type: regular expression pattern matching on the reply (downloaded content) content-type header. This is only usable in the http_reply_access directive, not http_access.
http://wiki.squid-cache.org/SquidFaq/SquidAcl

Еще:
пробовал запускать так: перешел в /usr/local/squid/sbin, там ./squid - говорит Warning: Cannot write log file: /usr/local/squid/var/logs/cache.log  /usr/local/squid/var/logs/cache.log: Permission denied. messages will be snt to the stderr, пробовал запускать ./squid -z из того же места, говорит Creatting missing swap directories. No cache dir stores are configured.

>[оверквотинг удален]
> Или эта команда годится только к тем, что были из rpm
> установлены? Никакого пользователя squid для установки создавать не надо? Папка /usr/local/squid
> появилась.
> Если устанавливать squid из rpm, то можно как-то эти параметры (опции) --enable-icap-client
> --enable-useragent-log --enable-referer-log --enable-kill-parent-hack --enable-ssl
> --enable-follow-x-forwarded-for --enable-ssl-crtd --enable-delay-pools --enable-xmalloc-statistics
> выставить?
> И еще вопрос: если squid уже стоит, то чтобы пересобрать его с
> указанными опциями, то нужно его удалять или же нет? Сохранятся ли
> при этом настройки?

> Добрый день!
> Я новичок в Linux. Встал такой вопрос:
> Нужно установить squid для перехвата https трафика. Система - RHEL 6, скачал
> последнюю версию squid с сайта. Захожу под root, затем tar xvzf
> squid-3.3.8.tar.gz после распаковки перехожу и запускаю ./configure --enable-icap-client
> --enable-useragent-log --enable-referer-log --enable-kill-parent-hack --enable-ssl
> --enable-follow-x-forwarded-for --enable-ssl-crtd --enable-delay-pools --enable-xmalloc-statistics
> (опции нужны для ssl трафика), затем make all, затем make install.
> Порядок установки правильный? Как после этого запускать/останавливать squid? service

service - вызывает start|stop скрипт, а не бинарник, нет скрипта получаете ошибку

> squid выдает, что unrecognized service. squid -v ничего не показывает (command
> not found) - или ее надо из какого-то другого места запускать.

нет /usr/local/squid/sbin в PATH, вызывайте по полному пути
> Или эта команда годится только к тем, что были из rpm
> установлены? Никакого пользователя squid для установки создавать не надо? Папка

для установки не надо, а для работы надо

/usr/local/squid
> появилась.
> Если устанавливать squid из rpm, то можно как-то эти параметры (опции) --enable-icap-client
> --enable-useragent-log --enable-referer-log --enable-kill-parent-hack --enable-ssl
> --enable-follow-x-forwarded-for --enable-ssl-crtd --enable-delay-pools --enable-xmalloc-statistics
> выставить?

в rpm готовый бинарник, если при сборке чегото не включили , то через указание опций не появится

> И еще вопрос: если squid уже стоит, то чтобы пересобрать его с

если устанавливаете в разные места можно и не удалять, сами только не запутайтесь потом что, чье и где

> указанными опциями, то нужно его удалять или же нет? Сохранятся ли
> при этом настройки?

смотря как удалять

> Сталкнулся с такой бедой - не работает через прокси один сайт и
> тогда когда заходишь в админку.
> После ввода логина и пароля браузер пишет 503 ошибку, в логах скивда
> 192.168.1.19 TCP_NEGATIVE_HIT/503 519 GET http://.su/administrator/index.php? - NONE/-
> text/html
> Подскажите, пожалуйста, куда копать?

TCP_NEGATIVE_HIT

    Запрос для негативно кешированных объектов типа "404 not found", о которых кеш знает, что они недоступны. См. пояснения по negative_ttl в вашем файле squid.conf.

(с)Google

sysctl -w net.ipv4.ip_forward=1

> По мере необходимости в организации пришлось ставить Squid. Ставился он под Windows
> и при попытке наборы команды c:\squid\sbin\squid -z выдаёт ошибку
> 2013/08/06 14:04:17| parseConfigFile: squid.conf:2963 unrecognized: 'upgrade_http0.9'

Выложите конфиг сквида, без комментариев.

> 2013/08/06 14:04:17| parseConfigFile: squid.conf:2963 unrecognized: 'upgrade_http0.9'

Удивительное рядом: upgrade_http0.9 есть в 2.7, и её, этой директивы, нет в 3.1.

> acl radio url_regex -i css\.moskva\.fm/f/MoskvaPlayerDark\.swf
> acl hard-traffic-mime rep_mime_type -i application/x-shockwave-flash
> http_access allow lan radio
> http_reply_access deny lan hard-traffic-mime

Ну и всё, конечно же, оказалось просто, надо последние две строки (http_access, http_reply_access) заменить на одну:
http_reply_access deny lan hard-traffic-mime !radio

>[оверквотинг удален]
>  Minor code may provide more information. '
> 2013/07/23 16:42:32| authenticateNegotiateHandleReply: Error validating user
> via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.
>  Minor code may provide more information. '
> 2013/07/23 16:42:32| authenticateNegotiateHandleReply: Error validating user
> via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.
>  Minor code may provide more information. '
> ==========================
> А так все работает отлично, но хочется разобраться. Кто нибудь сталкивался с
> подобным?

me предпоЛАГАЮ что в хелпере неверно отрабатывает/отлавливается ситуация устаревания сессионного ключа

Проверьте опцию сквида memory_pools , по дефолту она в состоянии - on, то есть не освобождается занимаемая память, сделайте - off
Обновите версию сквида, ваша 3.1.6 очень старая, возможно в старших версиях пофиксили утечки памяти, вроде в 3.1.12-1 было пофиксено . Последняя версия 3.3.8. Если ее нет в репозитории дебиана, поставьте другую старше 3.1.6, например 3.1.23.

cache_dir aufs /var/spool/squid3 3072 16 256
не стоит заниматься гигантизмом, большой кэш будет тормозить сквид  поиском в индексах. если у вас безлимитный тариф, то лучше вообще не использовать дисковый кэш. Толк от него небольшой, особенно, если юзеры ходят на много разных сайтов, а не на одни и те же.