<div dir="ltr">Jason helped me a lot although I am still having trouble getting that helper working. It got to the point that only the website I didn't want bumped was getting bumped because I had my logic switched in the helper script to nothing getting bumped at all. Jason pointed out that I appear to be using transparent intercept proxy and that I shouldn't do that until I have everything worked out with the regular proxy since bumping is difficult to do with transparent proxy.<div><br></div><div>I have been using transparent proxy (intercept) with the https_port declaration with great success so far as seen here</div><div><br></div><div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><i>http_port <a href="http://192.168.100.1:800">192.168.100.1:800</a> intercept</i></div><div><i>https_port <a href="http://192.168.100.1:808">192.168.100.1:808</a> intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/var/smoothwall/mods/proxy/ssl_cert/squidCA.pem</i></div></div></blockquote><i><br></i></div><div>For peek and splice should I not be using intercept?</div><div><br></div><div>I will give your suggestions a try and get back to you.</div><div><br></div><div>Also, I apologize for inadvertently not including our correspondence in the squid-users list. I was just clicking the reply button not realizing it wasn't a "reply all". I think I've got it figured out how to include the list in replies. </div><div><br></div><div>Thanks Nathan.</div><div><br></div><div>Stan</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, May 6, 2015 at 8:15 PM, Nathan Hoad <span dir="ltr"><<a href="mailto:nathan@getoffmalawn.com" target="_blank">nathan@getoffmalawn.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Stan,<br>
<br>
Yep, I think the server_name acl in 3.5.4 should provide what you want<br>
without the need for an external acl now. I haven't used it as the<br>
external acl fits my usecase. I imagine doing something like this<br>
should work for server_name though...<br>
<br>
acl sni_exclusions ssl::server_name <a href="http://wellsfargo.com" target="_blank">wellsfargo.com</a><br>
<span class="">acl tcp_level at_step SslBump1<br>
acl client_hello_peeked at_step SslBump2<br>
<br>
ssl_bump peek tcp_level all<br>
ssl_bump splice client_hello_peeked sni_exclusions<br>
ssl_bump bump all<br>
<br>
</span>Hopefully your other issue with your perl helper hanging has been<br>
resolved by Jason's recommendation! Though if this does what you want,<br>
you may not need the helper.<br>
<br>
Also, please try to keep messages to the mailing list - this is all<br>
information that will help others :)<br>
<br>
Thanks,<br>
<br>
Nathan.<br>
<div class="HOEnZb"><div class="h5"><br>
On 5 May 2015 at 13:20, Stanford Prescott <<a href="mailto:stan.prescott@gmail.com">stan.prescott@gmail.com</a>> wrote:<br>
> Hi Nathan. I have decided to try to go ahead and try to get peek and splice<br>
> working for Squid on the Smoothwall Express firewall distro since we will<br>
> not be able to migrate to Squid 4.x when it debuts. You previously kindly<br>
> offered an example of a squid.conf setup for me to try to get it working.<br>
><br>
> external_acl_type sni ttl=30 concurrency=X children-max=Y<br>
> children-startup=Z %ssl::>sni /path/to/your/helper<br>
><br>
> acl sni_exclusions external sni<br>
> acl tcp_level at_step SslBump1<br>
> acl client_hello_peeked at_step SslBump2<br>
><br>
> ssl_bump peek tcp_level all<br>
> ssl_bump splice client_hello_peeked sni_exclusions<br>
> ssl_bump bump all<br>
><br>
> Amos says he has back ported a server_name acl with the 3.5.4 release. Does<br>
> this now mean that the "external_acl_type" is no longer needed for this sort<br>
> of function? Specifically, I want to be able to allow my users to enter<br>
> websites that they do not want bumped, like banking websites. I wasn't able<br>
> to get the squid.conf and helper script example you provided to work for me.<br>
><br>
> Does the new server_name acl change how this can be done? Would you be able<br>
> to provide a new example for me to try based on this new acl in squid 3.5.4?<br>
><br>
> Any help is greatly appreciated.<br>
><br>
> Stan<br>
><br>
><br>
> On Sun, Apr 12, 2015 at 7:25 PM, Nathan Hoad <<a href="mailto:nathan@getoffmalawn.com">nathan@getoffmalawn.com</a>><br>
> wrote:<br>
>><br>
>> Hi Stan,<br>
>><br>
>> For peek and splice, you need to decide based on the SNI name, not the<br>
>> domain name, which for 3.5 means you need to use an external ACL<br>
>> helper that processes %ssl::>sni. For 4.0 there will be a server_name<br>
>> ACL you can use instead.<br>
>><br>
>> On top of that, you also need to make sure this external ACL helper<br>
>> runs at the correct "bump step", with the at_step ACL, e.g...<br>
>><br>
>> external_acl_type sni ttl=30 concurrency=X children-max=Y<br>
>> children-startup=Z %ssl::>sni /path/to/your/helper<br>
>><br>
>> acl sni_exclusions external sni<br>
>> acl tcp_level at_step SslBump1<br>
>> acl client_hello_peeked at_step SslBump2<br>
>><br>
>> ssl_bump peek tcp_level all<br>
>> ssl_bump splice client_hello_peeked sni_exclusions<br>
>> ssl_bump bump all<br>
>><br>
>> Hope that helps,<br>
>><br>
>> Nathan.<br>
>><br>
>> On 13 April 2015 at 04:12, Stanford Prescott <<a href="mailto:stan.prescott@gmail.com">stan.prescott@gmail.com</a>><br>
>> wrote:<br>
>> > I would like to give my users the ability to "not bump" certain sites. I<br>
>> > tried to use the examples given on the SSLPeekandSplice wiki page but<br>
>> > can't<br>
>> > get it to work.<br>
>> ><br>
>> > This is a snippet of my squid.conf file.<br>
>> ><br>
>> > https_port <a href="http://192.168.10.1:808" target="_blank">192.168.10.1:808</a> intercept ssl-bump<br>
>> > generate-host-certificates=on<br>
>> > dynamic_cert_mem_cache_size=4MB<br>
>> > cert=/var/smoothwall/mods/proxy/ssl_cert/squidCA.pem<br>
>> ><br>
>> > http_port <a href="http://192.168.20.1:800" target="_blank">192.168.20.1:800</a> intercept<br>
>> > https_port <a href="http://192.168.20.1:808" target="_blank">192.168.20.1:808</a> intercept ssl-bump<br>
>> > generate-host-certificates=on<br>
>> > dynamic_cert_mem_cache_size=4MB<br>
>> > cert=/var/smoothwall/mods/proxy/ssl_cert/squidCA.pem<br>
>> ><br>
>> > http_port <a href="http://127.0.0.1:800" target="_blank">127.0.0.1:800</a> intercept<br>
>> ><br>
>> > sslproxy_cert_error allow all<br>
>> > sslproxy_flags DONT_VERIFY_PEER<br>
>> > sslproxy_session_cache_size 4 MB<br>
>> ><br>
>> > acl serverIsBank dstdomain <a href="http://wellsfargo.com" target="_blank">wellsfargo.com</a><br>
>> ><br>
>> > ssl_bump server-first all<br>
>> ><br>
>> > ssl_bump none localhostgreen<br>
>> > ssl_bump none localhostpurple<br>
>> ><br>
>> > ssl_bump splice serverIsBank<br>
>> > ssl_bump peek all<br>
>> > ssl_bump bump all<br>
>> > sslcrtd_program /var/smoothwall/mods/proxy/libexec/ssl_crtd -s<br>
>> > /var/smoothwall/mods/proxy/lib/ssl_db -M 4MB<br>
>> > sslcrtd_children 5<br>
>> ><br>
>> ><br>
>> > When I start squid I don't get any error messages and all pages, http<br>
>> > and<br>
>> > https, load properly. The problem is, using the example above, the<br>
>> > <a href="https://www.wellsfargo.com" target="_blank">https://www.wellsfargo.com</a> website is still getting bumped, evidenced by<br>
>> > the<br>
>> > appearance of the ssl website in the web proxy access logs. When I don't<br>
>> > have ssl_bump enabled then no https websites appear in the access logs,<br>
>> > as<br>
>> > it should be. But, enabling ssl_bump and peek and splice, web sites that<br>
>> > I<br>
>> > am trying not to bump still seem to be getting bumped.<br>
>> ><br>
>> > Any suggestions on how to properly "not bump" certain websites.<br>
>> ><br>
>> > Thanks,<br>
>> ><br>
>> > Stan<br>
>> ><br>
>> > _______________________________________________<br>
>> > squid-users mailing list<br>
>> > <a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
>> > <a href="http://lists.squid-cache.org/listinfo/squid-users" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
>> ><br>
><br>
><br>
</div></div></blockquote></div><br></div>