Normalmente, isso seria feito em vcl_recv:
sub vcl_recv {
if ( req.url !~ "^/page1withauth" && req.url !~ "^/page2withauth" )
{
unset req.http.Cookie;
remove req.http.Cookie;
}
}
Em seguida, a única vez em que você deve ter um parâmetro set-cookie voltando do servidor é quando você está tentando identificar exclusivamente a conexão. Se é porque eles apenas postaram ou similares, isso já vai escapar do cache. Se é porque você simplesmente quer identificá-los de forma única, então o problema é o código da sua aplicação quebrar intencionalmente o verniz; corrija seu aplicativo se puder, caso contrário, você poderá substituir vcl_fetch de forma semelhante ao que está fazendo aqui.