<div dir="ltr">I have still been trying to get peek and splice to work. Specifically I want to allow the admins of our firewall distro to enter websites that they do not want to bump on the squid UI page. I have been fiddling with info that Amos and Nathan have provided me but with no success so far. Here is a snippet of squid.conf with most of the pertinent SSL configuration.<div><br></div><div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><i>http_access allow localhostgreen</i></div><div><i>http_access allow CONNECT localhostgreen</i></div><div><i><br></i></div><div><i># http_port and https_port</i></div><div><i>#----------------------------------------------------------------------------</i></div><div><i><br></i></div><div><i>http_port <a href="http://192.168.100.1:800">192.168.100.1:800</a> intercept</i></div><div><i>https_port <a href="http://192.168.100.1:808">192.168.100.1:808</a> intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/var/smoothwall/mods/proxy/ssl_cert/squidCA.pem</i></div><div><i><br></i></div><div><i>http_port <a href="http://127.0.0.1:800">127.0.0.1:800</a> intercept</i></div><div><i><br></i></div><div><i>sslproxy_cert_error allow all</i></div><div><i>sslproxy_flags DONT_VERIFY_PEER</i></div><div><i>sslproxy_session_cache_size 4 MB</i></div><div><i><br></i></div><div><i>ssl_bump none localhostgreen</i></div><div><i><br></i></div><div><i>external_acl_type sni ttl=30 concurrency=60 children-max=3 children-startup=1 %ssl::>sni /var/smoothwall/mods/proxy/libexec/bumphelper</i></div><div><i><br></i></div><div><i>acl sni_exclusions external sni</i></div><div><i>acl tcp_level at_step SslBump1</i></div><div><i>acl client_hello_peeked at_step SslBump2</i></div><div><i><br></i></div><div><i>ssl_bump none localhostgreen</i></div><div><i><br></i></div><div><i>ssl_bump peek tcp_level all</i></div><div><i>ssl_bump splice client_hello_peeked sni_exclusions</i></div><div><i>ssl_bump bump all</i></div><div><i><br></i></div><div><i>sslcrtd_program /var/smoothwall/mods/proxy/libexec/ssl_crtd -s /var/smoothwall/mods/proxy/lib/ssl_db -M 4MB</i></div><div><i>sslcrtd_children 5</i></div></div></blockquote><br></div><div>These were provided by Nathan to try. He also provided an example helper script in python to try, but our distro doesn't grok python so I tried to get it translated to perl and this what I came up with.</div><div><br></div><div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><i>#!/usr/bin/perl</i></div><div><i><br></i></div><div><i># run loop until an empty read, which indicates the process should shut down.</i></div><div><i><br></i></div><div><i>while (<STDIN>)</i></div><div><i>{</i></div><div><i>  my ($concurrency_id, $sni) = split;</i></div><div><i><br></i></div><div><i>  if ($sni eq '<a href="http://wellsfargo.com">wellsfargo.com</a>')</i></div><div><i>  {</i></div><div><i>     print "$concurreny_id OK\n";</i></div><div><i>  }</i></div><div><i>  else</i></div><div><i>  {</i></div><div><i>     print "$concurreny_id ERR\n";</i></div><div><i>  }</i></div><div><i>}</i></div></div></blockquote></div><div><br></div><div>When I start Squid with this configuration, the helper script "bumphelper" gets loaded as a process along with squid and ssl_crtd. When I try to browse any SSL websites there is no connection and it times out. HTTP browsing is fine. When I remove those peek and splice related lines and add "ssl_bump server-first all" back to squid conf then bumping of SSL sites is successful.</div><div><br></div><div>I suspect my "bumphelper" script is not doing what I intend it to do.</div><div><br></div><div>Suggestions very welcome.</div><div><br></div><div>Stan</div><div><br></div></div>