<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman",serif;
color:black;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-reply;
font-family:"Calibri",sans-serif;
color:#1F497D;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:8.5in 11.0in;
margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body bgcolor="white" lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Glad that it worked.
<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">May be useful to dump here your squid.conf to better understand how to configure squid to transparently work with wccp traffic coming from your Cisco router?<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Raf<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext"> Yuri Voinov [mailto:yvoinov@gmail.com]
<br>
<b>Sent:</b> Tuesday, December 30, 2014 8:48 PM<br>
<b>To:</b> Rafael Akchurin; squid-users@lists.squid-cache.org<br>
<b>Subject:</b> Re: [squid-users] Squid 3 SSL bump: Google drive application could not connect<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><br>
-----BEGIN PGP SIGNED MESSAGE----- <br>
Hash: SHA1 <br>
<br>
Already found this lonely right post ;) I have Google-Fu too :) And it longer than you :)<br>
<br>
Anyway,<br>
<br>
all of these issues solved.<br>
<br>
I have snoop (not Windoze wireshark - all great things makes in console, ya!) and take a look on single client traffic during bumping.<br>
<br>
As I haven't iptables (no penguins, please!), but I have Cisco 2911, I pass some Windows Update, Symantec Update (which is not work too) bypassing Squid.<br>
<br>
Cisco is greatest. All others are probably suxx :)<br>
<br>
The complete solution looks like:<br>
<br>
access-list 121 remark ACL for HTTPS WCCP<br>
access-list 121 remark Squid proxies bypass<br>
access-list 121 deny ip host 192.168.200.3 any<br>
access-list 121 remark WU bypass<br>
access-list 121 deny tcp any 191.232.0.0 0.7.255.255<br>
access-list 121 deny tcp any 65.52.0.0 0.3.255.255<br>
access-list 121 remark Symantec bypass<br>
access-list 121 deny tcp any host 195.215.221.99<br>
access-list 121 deny tcp any host 195.215.221.104<br>
access-list 121 deny tcp any host 213.248.114.172<br>
access-list 121 deny tcp any host 213.248.114.173<br>
access-list 121 deny tcp any host 213.248.114.174<br>
access-list 121 deny tcp any host 213.248.114.175<br>
access-list 121 deny tcp any host 77.67.22.168<br>
access-list 121 deny tcp any host 77.67.22.171<br>
access-list 121 deny tcp any host 77.67.22.173<br>
access-list 121 deny tcp any host 213.248.114.171<br>
access-list 121 remark LAN clients proxy port 443<br>
access-list 121 permit tcp 192.168.0.0 0.0.255.255 any eq 443<br>
access-list 121 remark all others bypass WCCP<br>
access-list 121 deny ip any any<br>
<br>
So, all others issue solves similar.<br>
<br>
Want to do something good - do it yourself!<br>
<br>
That's the way. :)<br>
<br>
30.12.2014 23:39, Rafael Akchurin пишет:<br>
><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > Hello Yuri,<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > <br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > Luckily the same topic was just discussed on our forum –<o:p></o:p></p>
<p class="MsoNormal"> please see if this can help<o:p></o:p></p>
<p class="MsoNormal"><a href="https://groups.google.com/d/msg/quintolabs-content-security-for-squid-proxy/GKIV3FpYSBE/9IET-4hg_tEJ">https://groups.google.com/d/msg/quintolabs-content-security-for-squid-proxy/GKIV3FpYSBE/9IET-4hg_tEJ</a><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > <br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > It describes the iptables settings for successful SSL bump<o:p></o:p></p>
<p class="MsoNormal"> exclusions for Dropbox clients / Google Drive / iTunes (bypassing<o:p></o:p></p>
<p class="MsoNormal"> SSL Bump because of SSL Pinning).<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > <br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > Best regards,<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > Raf<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > <br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > *From:*squid-users<o:p></o:p></p>
<p class="MsoNormal"> [<a href="mailto:squid-users-bounces@lists.squid-cache.org">mailto:squid-users-bounces@lists.squid-cache.org</a>] *On Behalf Of<o:p></o:p></p>
<p class="MsoNormal"> *Rafael Akchurin<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > *Sent:* Tuesday, December 30, 2014 4:23 PM<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > *To:* Yuri Voinov; <a href="mailto:squid-users@lists.squid-cache.org">
squid-users@lists.squid-cache.org</a><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > *Subject:* Re: [squid-users] Squid 3 SSL bump: Google drive<o:p></o:p></p>
<p class="MsoNormal"> application could not connect<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > <br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > Only exclusion from SSL Bump as far as I know.<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > <br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > raf<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > -------------------------<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > *From:*Yuri Voinov <<a href="mailto:yvoinov@gmail.com">yvoinov@gmail.com</a><o:p></o:p></p>
<p class="MsoNormal"> <a href="mailto:yvoinov@gmail.com"><mailto:yvoinov@gmail.com></a>><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > *Sent:* Tuesday, December 30, 2014 3:19 PM<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > *To:* Rafael Akchurin; <a href="mailto:squid-users@lists.squid-cache.org">
squid-users@lists.squid-cache.org</a><o:p></o:p></p>
<p class="MsoNormal"> <a href="mailto:squid-users@lists.squid-cache.org"><mailto:squid-users@lists.squid-cache.org></a><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > *Subject:* Re: [squid-users] Squid 3 SSL bump: Google drive<o:p></o:p></p>
<p class="MsoNormal"> application could not connect<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > <br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > May be.<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > Does workaround exists?<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > 30.12.2014 20:09, Rafael Akchurin ?????:<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > SSL Pinning? (I know Dropbox does this)<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > my two cents only :)<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > Raf<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > ________________________________________<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > From: squid-users<o:p></o:p></p>
<p class="MsoNormal"> <a href="mailto:squid-users-bounces@lists.squid-cache.org">
<mailto:squid-users-bounces@lists.squid-cache.org></a><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > <a href="mailto:squid-users-bounces@lists.squid-cache.org">
<squid-users-bounces@lists.squid-cache.org></a><o:p></o:p></p>
<p class="MsoNormal"> <a href="mailto:squid-users-bounces@lists.squid-cache.org">
<mailto:squid-users-bounces@lists.squid-cache.org></a>on behalf<o:p></o:p></p>
<p class="MsoNormal"> of Yuri Voinov <a href="mailto:yvoinov@gmail.com"><mailto:yvoinov@gmail.com></a><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > <a href="mailto:yvoinov@gmail.com"><yvoinov@gmail.com></a>
<a href="mailto:yvoinov@gmail.com"><mailto:yvoinov@gmail.com></a><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > Sent: Tuesday, December 30, 2014 2:12 PM<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > To: <a href="mailto:squid-users@lists.squid-cache.org">
<mailto:squid-users@lists.squid-cache.org></a><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > <a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><o:p></o:p></p>
<p class="MsoNormal"> <a href="mailto:squid-users@lists.squid-cache.org"><mailto:squid-users@lists.squid-cache.org></a><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > Subject: [squid-users] Squid 3 SSL bump: Google drive<o:p></o:p></p>
<p class="MsoNormal"> application could not connect<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > Hi gents,<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > I found strange issue.<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > Squid 3.4.10. Intercept. HTTPS bumping. All works fine.<o:p></o:p></p>
<p class="MsoNormal"> All configs correct.<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > Whenever all web https sites works perfectly -<o:p></o:p></p>
<p class="MsoNormal"> especially in Chrome,<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > most cloud clients works like charm (SpiderOak is!),<o:p></o:p></p>
<p class="MsoNormal"> Google Drive client<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > application (PC) could not work.<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > Note: Web Google Docs works. Web Google drive works.<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > Note: Google support info - even I if pass dozen Google<o:p></o:p></p>
<p class="MsoNormal"> URL's without<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > bump - cannot help. It doesn't work when server-first<o:p></o:p></p>
<p class="MsoNormal"> bumping is on and<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > works othervise.<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > So, the Serious Question is: Why? :)<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > Any idea?<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > _______________________________________________<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > squid-users mailing list<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > > <a href="mailto:squid-users@lists.squid-cache.org">
<mailto:squid-users@lists.squid-cache.org></a><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > <a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><o:p></o:p></p>
<p class="MsoNormal"> <a href="mailto:squid-users@lists.squid-cache.org"><mailto:squid-users@lists.squid-cache.org></a><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > ><o:p></o:p></p>
<p class="MsoNormal"> <a href="http://lists.squid-cache.org/listinfo/squid-users">
<http://lists.squid-cache.org/listinfo/squid-users></a><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> > <a href="http://lists.squid-cache.org/listinfo/squid-users">
http://lists.squid-cache.org/listinfo/squid-users</a><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"> ><br>
<br>
<o:p></o:p></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"> ><br>
<br>
-----BEGIN PGP SIGNATURE----- <br>
Version: GnuPG v2 <br>
<br>
iQEcBAEBAgAGBQJUowFgAAoJENNXIZxhPexGHxkIAM2mb+OjhevZWpgdwiKHP2E0 <br>
D+8UM6/c7OZcJ2uSjIWN7DG0h+b86/ATul+9S+mZHl1DLBYpGUKW9J5I3iIQb+sr <br>
5xR2ReFkuFeSpZASXex2yq5lfmACPdiUzI9iVhe7DPJqKJNiIzvHLq4ZRnjJN4Ih <br>
0u0NGuPKfkkWFJ/SmXAceEdS7sT/lT0cVm1JgpurVzipelBUNbLQUd0yKrpbIz2x <br>
ia7gwu3ZFi2aY2DvrfP7ntkoZpLl+SyDI/PkFIEaAr2+KaMcTbUXVQcVTZ7S6eLu <br>
pgCNil0x8AFApWSIg+P68DcFcIS/nUIvNqXjuvr0ikqGwLEAqvueM6LPKifsdSg= <br>
=J+Cs <br>
-----END PGP SIGNATURE----- <o:p></o:p></p>
</div>
</body>
</html>