
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;


        color:black;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


span.EmailStyle17


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:#1F497D;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body bgcolor="white" lang="EN-US" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Perfect thanks a lot!!!<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Raf :)<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>


<div>


<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">


<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext"> Yuri Voinov [mailto:yvoinov@gmail.com]


<br>


<b>Sent:</b> Tuesday, December 30, 2014 9:23 PM<br>


<b>To:</b> Rafael Akchurin; squid-users@lists.squid-cache.org<br>


<b>Subject:</b> Re: [squid-users] Squid 3 SSL bump: Google drive application could not connect<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<p class="MsoNormal"><br>


-----BEGIN PGP SIGNED MESSAGE----- <br>


Hash: SHA1 <br>


 <br>


WCCP only, of course. To reduce Cisco CPU usage.<br>


<br>


Also, iOS version 15.4 with SECURITYK9 techno pack activated.<br>


<br>


31.12.2014 2:21, Rafael Akchurin пишет:<br>


><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > Just for me to completely clarify:<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      >  <br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > - how exactly your Squid gets the traffic from your clients?<o:p></o:p></p>


<p class="MsoNormal">      (explicit proxy or cisco WCCP?)<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      >  <br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > raf<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > *From:*Yuri Voinov [<a href="mailto:yvoinov@gmail.com">mailto:yvoinov@gmail.com</a>]<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > *Sent:* Tuesday, December 30, 2014 9:16 PM<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > *To:* Rafael Akchurin; <a href="mailto:squid-users@lists.squid-cache.org">


squid-users@lists.squid-cache.org</a><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > *Subject:* Re: [squid-users] Squid 3 SSL bump: Google drive<o:p></o:p></p>


<p class="MsoNormal">      application could not connect<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      >  <br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > To finalize a solution,<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > see the our favorite:<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><o:p></o:p></p>


<p class="MsoNormal">      <a href="http://www.squid-cache.org/mail-archive/squid-users/201406/0369.html">


http://www.squid-cache.org/mail-archive/squid-users/201406/0369.html</a><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > Why use iptables, ipfilter,Cisco, etc?!<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > Only Squid, only hardcore!<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > Revert cisco config back:<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > R2911(config)#no access-list 121<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > R2911(config)#access-list 121 remark ACL for HTTPS WCCP<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > R2911(config)#access-list 121 remark Squid proxies bypass<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > R2911(config)#access-list 121 deny   ip host 192.168.200.3<o:p></o:p></p>


<p class="MsoNormal">      any<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > R2911(config)#access-list 121 deny   ip host 192.168.100.251<o:p></o:p></p>


<p class="MsoNormal">      any<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > R2911(config)#access-list 121 remark Videoserver<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > R2911(config)#access-list 121 deny   ip host 192.168.200.5<o:p></o:p></p>


<p class="MsoNormal">      any<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > R2911(config)#access-list 121 remark LAN clients proxy port<o:p></o:p></p>


<p class="MsoNormal">      443<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > R2911(config)#access-list 121 permit tcp 192.168.0.0<o:p></o:p></p>


<p class="MsoNormal">      0.0.255.255 any eq 443<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > R2911(config)#access-list 121 remark all others bypass WCCP<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > R2911(config)#access-list 121 deny   ip any any<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > R2911(config)#^Z<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > R2911#wr<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > Building configuration...<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > [OK]<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > Write acl file with IP/net with SSL Pinning:<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > root @ ktulhu /usr/local/squid/etc # cat dst.nobump<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > # BCC bypass<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > 91.198.63.0/24<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > # Salyk bypass<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > 212.154.165.148/32<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > # WU bypass<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > 191.232.0.0/13<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > 65.52.0.0/14<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > # Symantec bypass<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > 195.215.221.99/32<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > 195.215.221.104/32<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > 213.248.114.172/32<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > 213.248.114.173/32<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > 213.248.114.174/32<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > 213.248.114.175/32<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > 77.67.22.168/32<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > 77.67.22.171/32<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > 77.67.22.173/32<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > 213.248.114.171/32<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > Add needful nets/apps to acl by your taste.<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > Add to squid config:<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > # SSL bump acl<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > acl net_bump src "/usr/local/squid/etc/net.bump"<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > # HTTP-use 443 port apps<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > acl url_nobump dstdom_regex \.icq\.*<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > # SSL Pinning servers. Only ip-based dst acl!<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > acl dst_nobump dst "/usr/local/squid/etc/dst.nobump"<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > # SSL bump rules<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > sslproxy_cert_error allow all<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > ssl_bump none localhost<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > ssl_bump none url_nobump<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > ssl_bump none dst_nobump<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > ssl_bump server-first net_bump<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > Yahooo! The same result with Squid only!<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > 30.12.2014 23:39, Rafael Akchurin пишет:<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      > > SSL Pinning<br>


<br>


<o:p></o:p></p>


<p class="MsoNormal">      ><br>


<br>


<o:p></o:p></p>


<p class="MsoNormal" style="margin-bottom:12.0pt">      ><br>


<br>


-----BEGIN PGP SIGNATURE----- <br>


Version: GnuPG v2 <br>


 <br>


iQEcBAEBAgAGBQJUowmnAAoJENNXIZxhPexGEtwH/10nuDG9+Z7AG2W+nh64X7JV <br>


5JmvvaC778yUYnMUaPJTLPK3hxVuQshVMaE2x4jhuxBEkhtKPWBJZg8JFLFinzf5 <br>


nDINk8zz0j4fLCXmDAJaXz2NMacUviCiKFY8k63SumxKeTIBU20DuLk9glggTpfY <br>


3RgdNWfvmma9iv8QW/s2UJFbRdJS0cLjra4XFFQBZLyGEJPTOcft3slWX3QgHVCD <br>


SB3CZWy2gwbLVphiCiG91HxBtUUUzSLqPc60RdSwOCoSOaBMHZgy8yjZ8VRgQkyi <br>


uz41hhp1mCMfssNjoLdCvr/AxJG990yQ24MiCDuzN9fYVNzUPdXF+q4E5G/avtk= <br>


=FkuL <br>


-----END PGP SIGNATURE----- <o:p></o:p></p>


</div>


</body>


</html>