<div dir="ltr"><div>I think, in the sslbump mode, if PROXY protocol is enabled, client cannot set up the SSL tunnel with squid after CONNECT call succeeds. I remember that HAProxy will send PROXY protocol line during ssl negotiation. If squid does not parse the PROXY protocol header during SSL negotiation, this will cause the problem.<br><br></div>Alex<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Apr 13, 2015 at 7:56 PM, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 14/04/2015 4:47 a.m., Yuhua Wu wrote:<br>
> For example, is this configuration supported?<br>
><br>
> http_port 3129 require-proxy-header ssl-bump ……<br>
><br>
> By the way, we added acl rules:<br>
><br>
> acl frontend src <a href="http://10.0.0.0/8" target="_blank">10.0.0.0/8</a><br>
> proxy_protocol_access allow frontend<br>
><br>
> Alex<br>
><br>
<br>
</div></div>Yes that should work.<br>
<br>
<<a href="http://www.squid-cache.org/Versions/v3/3.5/RELEASENOTES.html#ss2.7" target="_blank">http://www.squid-cache.org/Versions/v3/3.5/RELEASENOTES.html#ss2.7</a>><br>
<br>
Your above config example decrypts the traffic through the following layers:<br>
  HTTPS over HTTP/1.x over PROXY/TCP ...<br>
<br>
As you can see the PROXY and HTTPS layers are separate protocols that<br>
dont interact.<br>
<br>
Amos<br>
<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div><br></div>