From 40f7da5726e9a00c793d587e765aab4da7b3adc0 Mon Sep 17 00:00:00 2001
From: postscriptum <postscriptum@gemlog>
Date: Mon, 5 Jan 2026 19:55:18 +0200
Subject: [PATCH] update squid conf example

---
 public/uk/squid-out-proxy.gmi | 27 +++++++++++++++++++++------
 1 file changed, 21 insertions(+), 6 deletions(-)

diff --git a/public/uk/squid-out-proxy.gmi b/public/uk/squid-out-proxy.gmi
index 37d71f8..e7ec374 100644
--- a/public/uk/squid-out-proxy.gmi
+++ b/public/uk/squid-out-proxy.gmi
@@ -15,23 +15,38 @@ apt install squid
 Тут в мене передбачається взаємодія між проксі-сервером "a" та клієнтом "b" на IPv6 інтерфейсі:
 
 ``` /etc/squid/conf.d/debian.conf
-
 # інтерфейс, на якому слухати вхідні підключення
+# * можна вказати декілька рядків http_port
+# * важливо звернути увагу на однойменну глобальну директиву, закоментувавши її:
+#   /etc/squid/squid.conf
+#   інакше відбудеться оголошення на інтерфейсах ::/0.0.0.0 поряд з IP, вказаним нижче
 http_port [aaa:aaaa:aaaa:aaaa:aaaa]:3128
 
 # налаштування журналів
-logfile_rotate 0
+# logfile_rotate 0
 
-# оголошуємо групу "remote", куди входить IP "b"
-acl remote src bbb:bbbb:bbbb:bbbb:bbbb
+# можна підвищити приватність, видаливши заголовки:
+# request_header_access From deny all
+# request_header_access Referer deny all
+# request_header_access User-Agent deny all
+#
+# reply_header_access Server deny all
+# reply_header_access X-Powered-By deny all
+# reply_header_access X-Frame-Options deny all
+# reply_header_access Strict-Transport-Security deny all
+
+# оголошуємо групу "clients", куди входить IP "b"
+acl clients src bbb:bbbb:bbbb:bbbb:bbbb
 
 # оголошуємо набір правил "updates" типу "dstdomain"
 # мені проксі потрібен тільки для системних оновлень,
-# окрім iptables, на всяк випадок, я вирішив додати правила на піддомени (у вас може бути інший набір - дивіться /etc/apt/sources.list.d)
+# окрім iptables, на всяк випадок, я вирішив додати правила на піддомени
+# * у вас може бути інший набір - дивіться /etc/apt/sources.list.d
+# * замість dstdomain можна вказати dst з IP або діапазоном IP (наприклад 0200::/7)
 acl updates  dstdomain  .debian.org .debian.net .armbian.com .github.com .gitlab.com .crates.io .fastlydns.net .librewolf.net .nodesource.com
 
 # вмикаємо обмеження у послідовності
-http_access    allow      remote    updates
+http_access    allow      clients    updates
 http_access    deny       all
 ```