<html>
  <head>
    <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <br>
    -----BEGIN PGP SIGNED MESSAGE----- <br>
    Hash: SHA1 <br>
     <br>
    To finalize a solution,<br>
    <br>
    see the our favorite:<br>
    <br>
    <a class="moz-txt-link-freetext" href="http://www.squid-cache.org/mail-archive/squid-users/201406/0369.html">http://www.squid-cache.org/mail-archive/squid-users/201406/0369.html</a><br>
    <br>
    Why use iptables, ipfilter,Cisco, etc?!<br>
    <br>
    Only Squid, only hardcore!<br>
    <br>
    Revert cisco config back:<br>
    <br>
    R2911(config)#no access-list 121<br>
    R2911(config)#access-list 121 remark ACL for HTTPS WCCP<br>
    R2911(config)#access-list 121 remark Squid proxies bypass<br>
    R2911(config)#access-list 121 deny   ip host 192.168.200.3 any<br>
    R2911(config)#access-list 121 deny   ip host 192.168.100.251 any<br>
    R2911(config)#access-list 121 remark Videoserver<br>
    R2911(config)#access-list 121 deny   ip host 192.168.200.5 any<br>
    R2911(config)#access-list 121 remark LAN clients proxy port 443<br>
    R2911(config)#access-list 121 permit tcp 192.168.0.0 0.0.255.255 any
    eq 443<br>
    R2911(config)#access-list 121 remark all others bypass WCCP<br>
    R2911(config)#access-list 121 deny   ip any any<br>
    R2911(config)#^Z<br>
    R2911#wr<br>
    Building configuration...<br>
    [OK]<br>
    <br>
    Write acl file with IP/net with SSL Pinning:<br>
    <br>
    root @ ktulhu /usr/local/squid/etc # cat dst.nobump<br>
    # BCC bypass<br>
    91.198.63.0/24<br>
    # Salyk bypass<br>
    212.154.165.148/32<br>
    # WU bypass<br>
    191.232.0.0/13<br>
    65.52.0.0/14<br>
    # Symantec bypass<br>
    195.215.221.99/32<br>
    195.215.221.104/32<br>
    213.248.114.172/32<br>
    213.248.114.173/32<br>
    213.248.114.174/32<br>
    213.248.114.175/32<br>
    77.67.22.168/32<br>
    77.67.22.171/32<br>
    77.67.22.173/32<br>
    213.248.114.171/32<br>
    <br>
    Add needful nets/apps to acl by your taste.<br>
    <br>
    Add to squid config:<br>
    <br>
    # SSL bump acl<br>
    acl net_bump src "/usr/local/squid/etc/net.bump"<br>
    # HTTP-use 443 port apps<br>
    acl url_nobump dstdom_regex \.icq\.*<br>
    # SSL Pinning servers. Only ip-based dst acl!<br>
    acl dst_nobump dst "/usr/local/squid/etc/dst.nobump"<br>
    <br>
    # SSL bump rules<br>
    sslproxy_cert_error allow all<br>
    ssl_bump none localhost<br>
    ssl_bump none url_nobump<br>
    ssl_bump none dst_nobump<br>
    ssl_bump server-first net_bump<br>
    <br>
    Yahooo! The same result with Squid only!<br>
    <br>
    30.12.2014 23:39, Rafael Akchurin пишет:<br>
    <span style="white-space: pre;">> SSL Pinning</span><br>
    <br>
    -----BEGIN PGP SIGNATURE-----
<br>
    Version: GnuPG v2
<br>
     <br>
    iQEcBAEBAgAGBQJUowfzAAoJENNXIZxhPexGQjgH/2a6Ec4VMKgwKdgR+HPJYRj3
<br>
    eOmmO8E3LAwkQpDnUNfBl057tKSdPTq5Y1Fo0SJrs0yczvc7w2nt7G01adCajxgT
<br>
    Zj91d77aNxXoE730I6rnL8vAg4gvWVYdJufJstTQuToJW31SYMlEkzZfY38suRTs
<br>
    GQRAaQ+hYY4trqE7f5BlQHdChMwIb6pxQoE2PJ+8SzkuBr4E68fJlqECz8zXxs8Z
<br>
    Mb+R3OCA18YKpr+6nU3dM58B3FDvWTj/NuIib2PgvIGR2Xsrrrr2GPms2x6QKg5v
<br>
    ivlmYD5cYWz3F+8htv7mFovSxp32cKb6+Vfxk45yGEA2+z9VziGE1G7KF4WgKGM=
<br>
    =1ux+
<br>
    -----END PGP SIGNATURE-----
<br>
    <br>
  </body>
</html>