From 67228346a5c3dfc9245ae24d17c63ca3ca1f0333 Mon Sep 17 00:00:00 2001
From: postscriptum <postscriptum@gemlog>
Date: Mon, 5 Jan 2026 19:53:34 +0200
Subject: [PATCH] update squid conf example

---
 ...uvannia-vykhidnoho-proksi-na-bazi-squid.md | 26 +++++++++++++++----
 1 file changed, 21 insertions(+), 5 deletions(-)

diff --git a/post/nalashtuvannia-vykhidnoho-proksi-na-bazi-squid.md b/post/nalashtuvannia-vykhidnoho-proksi-na-bazi-squid.md
index 4150426..9fa0003 100644
--- a/post/nalashtuvannia-vykhidnoho-proksi-na-bazi-squid.md
+++ b/post/nalashtuvannia-vykhidnoho-proksi-na-bazi-squid.md
@@ -17,21 +17,37 @@ apt install squid
 ``` /etc/squid/conf.d/debian.conf
 
 # інтерфейс, на якому слухати вхідні підключення
+# * можна вказати декілька рядків http_port
+# * важливо звернути увагу на однойменну глобальну директиву, закоментувавши її:
+#   /etc/squid/squid.conf
+#   інакше відбудеться оголошення на інтерфейсах ::/0.0.0.0 поряд з IP, вказаним нижче
 http_port [aaa:aaaa:aaaa:aaaa:aaaa]:3128
 
 # налаштування журналів
-logfile_rotate 0
+# logfile_rotate 0
 
-# оголошуємо групу "remote", куди входить IP "b"
-acl remote src bbb:bbbb:bbbb:bbbb:bbbb
+# можна підвищити приватність, видаливши заголовки:
+# request_header_access From deny all
+# request_header_access Referer deny all
+# request_header_access User-Agent deny all
+#
+# reply_header_access Server deny all
+# reply_header_access X-Powered-By deny all
+# reply_header_access X-Frame-Options deny all
+# reply_header_access Strict-Transport-Security deny all
+
+# оголошуємо групу "clients", куди входить IP "b"
+acl clients src bbb:bbbb:bbbb:bbbb:bbbb
 
 # оголошуємо набір правил "updates" типу "dstdomain"
 # мені проксі потрібен тільки для системних оновлень,
-# окрім iptables, на всяк випадок, я вирішив додати правила на піддомени (у вас може бути інший набір - дивіться /etc/apt/sources.list.d)
+# окрім iptables, на всяк випадок, я вирішив додати правила на піддомени
+# * у вас може бути інший набір - дивіться /etc/apt/sources.list.d
+# * замість dstdomain можна вказати dst з IP або діапазоном IP (наприклад 0200::/7)
 acl updates  dstdomain  .debian.org .debian.net .armbian.com .github.com .gitlab.com .crates.io .fastlydns.net .librewolf.net .nodesource.com
 
 # вмикаємо обмеження у послідовності
-http_access    allow      remote    updates
+http_access    allow      clients    updates
 http_access    deny       all
 ```