
<div dir="ltr">Jason helped me a lot although I am still having trouble getting that helper working. It got to the point that only the website I didn't want bumped was getting bumped because I had my logic switched in the helper script to nothing getting bumped at all. Jason pointed out that I appear to be using transparent intercept proxy and that I shouldn't do that until I have everything worked out with the regular proxy since bumping is difficult to do with transparent proxy.<div><br></div><div>I have been using transparent proxy (intercept) with the https_port declaration with great success so far as seen here</div><div><br></div><div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><i>http_port <a href="http://192.168.100.1:800">192.168.100.1:800</a> intercept</i></div><div><i>https_port <a href="http://192.168.100.1:808">192.168.100.1:808</a> intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/var/smoothwall/mods/proxy/ssl_cert/squidCA.pem</i></div></div></blockquote><i><br></i></div><div>For peek and splice should I not be using intercept?</div><div><br></div><div>I will give your suggestions a try and get back to you.</div><div><br></div><div>Also, I apologize for inadvertently not including our correspondence in the squid-users list. I was just clicking the reply button not realizing it wasn't a "reply all". I think I've got it figured out how to include the list in replies. </div><div><br></div><div>Thanks Nathan.</div><div><br></div><div>Stan</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, May 6, 2015 at 8:15 PM, Nathan Hoad <span dir="ltr"><<a href="mailto:nathan@getoffmalawn.com" target="_blank">nathan@getoffmalawn.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Stan,<br>

<br>

Yep, I think the server_name acl in 3.5.4 should provide what you want<br>

without the need for an external acl now. I haven't used it as the<br>

external acl fits my usecase. I imagine doing something like this<br>

should work for server_name though...<br>

<br>

acl sni_exclusions ssl::server_name <a href="http://wellsfargo.com" target="_blank">wellsfargo.com</a><br>

<span class="">acl tcp_level at_step SslBump1<br>

acl client_hello_peeked at_step SslBump2<br>

<br>

ssl_bump peek tcp_level all<br>

ssl_bump splice client_hello_peeked sni_exclusions<br>

ssl_bump bump all<br>

<br>

</span>Hopefully your other issue with your perl helper hanging has been<br>

resolved by Jason's recommendation! Though if this does what you want,<br>

you may not need the helper.<br>

<br>

Also, please try to keep messages to the mailing list - this is all<br>

information that will help others :)<br>

<br>

Thanks,<br>

<br>

Nathan.<br>

<div class="HOEnZb"><div class="h5"><br>

On 5 May 2015 at 13:20, Stanford Prescott <<a href="mailto:stan.prescott@gmail.com">stan.prescott@gmail.com</a>> wrote:<br>

> Hi Nathan. I have decided to try to go ahead and try to get peek and splice<br>

> working for Squid on the Smoothwall Express firewall distro since we will<br>

> not be able to migrate to Squid 4.x when it debuts. You previously kindly<br>

> offered an example of a squid.conf setup for me to try to get it working.<br>

><br>

> external_acl_type sni ttl=30 concurrency=X children-max=Y<br>

> children-startup=Z %ssl::>sni /path/to/your/helper<br>

><br>

> acl sni_exclusions external sni<br>

> acl tcp_level at_step SslBump1<br>

> acl client_hello_peeked at_step SslBump2<br>

><br>

> ssl_bump peek tcp_level all<br>

> ssl_bump splice client_hello_peeked sni_exclusions<br>

> ssl_bump bump all<br>

><br>

> Amos says he has back ported a server_name acl with the 3.5.4 release. Does<br>

> this now mean that the "external_acl_type" is no longer needed for this sort<br>

> of function? Specifically, I want to be able to allow my users to enter<br>

> websites that they do not want bumped, like banking websites. I wasn't able<br>

> to get the squid.conf and helper script example you provided to work for me.<br>

><br>

> Does the new server_name acl change how this can be done? Would you be able<br>

> to provide a new example for me to try based on this new acl in squid 3.5.4?<br>

><br>

> Any help is greatly appreciated.<br>

><br>

> Stan<br>

><br>

><br>

> On Sun, Apr 12, 2015 at 7:25 PM, Nathan Hoad <<a href="mailto:nathan@getoffmalawn.com">nathan@getoffmalawn.com</a>><br>

> wrote:<br>

>><br>

>> Hi Stan,<br>

>><br>

>> For peek and splice, you need to decide based on the SNI name, not the<br>

>> domain name, which for 3.5 means you need to use an external ACL<br>

>> helper that processes %ssl::>sni. For 4.0 there will be a server_name<br>

>> ACL you can use instead.<br>

>><br>

>> On top of that, you also need to make sure this external ACL helper<br>

>> runs at the correct "bump step", with the at_step ACL, e.g...<br>

>><br>

>> external_acl_type sni ttl=30 concurrency=X children-max=Y<br>

>> children-startup=Z %ssl::>sni /path/to/your/helper<br>

>><br>

>> acl sni_exclusions external sni<br>

>> acl tcp_level at_step SslBump1<br>

>> acl client_hello_peeked at_step SslBump2<br>

>><br>

>> ssl_bump peek tcp_level all<br>

>> ssl_bump splice client_hello_peeked sni_exclusions<br>

>> ssl_bump bump all<br>

>><br>

>> Hope that helps,<br>

>><br>

>> Nathan.<br>

>><br>

>> On 13 April 2015 at 04:12, Stanford Prescott <<a href="mailto:stan.prescott@gmail.com">stan.prescott@gmail.com</a>><br>

>> wrote:<br>

>> > I would like to give my users the ability to "not bump" certain sites. I<br>

>> > tried to use the examples given on the SSLPeekandSplice wiki page but<br>

>> > can't<br>

>> > get it to work.<br>

>> ><br>

>> > This is a snippet of my squid.conf file.<br>

>> ><br>

>> > https_port <a href="http://192.168.10.1:808" target="_blank">192.168.10.1:808</a> intercept ssl-bump<br>

>> > generate-host-certificates=on<br>

>> > dynamic_cert_mem_cache_size=4MB<br>

>> > cert=/var/smoothwall/mods/proxy/ssl_cert/squidCA.pem<br>

>> ><br>

>> > http_port <a href="http://192.168.20.1:800" target="_blank">192.168.20.1:800</a> intercept<br>

>> > https_port <a href="http://192.168.20.1:808" target="_blank">192.168.20.1:808</a> intercept ssl-bump<br>

>> > generate-host-certificates=on<br>

>> > dynamic_cert_mem_cache_size=4MB<br>

>> > cert=/var/smoothwall/mods/proxy/ssl_cert/squidCA.pem<br>

>> ><br>

>> > http_port <a href="http://127.0.0.1:800" target="_blank">127.0.0.1:800</a> intercept<br>

>> ><br>

>> > sslproxy_cert_error allow all<br>

>> > sslproxy_flags DONT_VERIFY_PEER<br>

>> > sslproxy_session_cache_size 4 MB<br>

>> ><br>

>> > acl serverIsBank dstdomain <a href="http://wellsfargo.com" target="_blank">wellsfargo.com</a><br>

>> ><br>

>> > ssl_bump server-first all<br>

>> ><br>

>> > ssl_bump none localhostgreen<br>

>> > ssl_bump none localhostpurple<br>

>> ><br>

>> > ssl_bump splice serverIsBank<br>

>> > ssl_bump peek all<br>

>> > ssl_bump bump all<br>

>> > sslcrtd_program /var/smoothwall/mods/proxy/libexec/ssl_crtd -s<br>

>> > /var/smoothwall/mods/proxy/lib/ssl_db -M 4MB<br>

>> > sslcrtd_children 5<br>

>> ><br>

>> ><br>

>> > When I start squid I don't get any error messages and all pages, http<br>

>> > and<br>

>> > https, load properly. The problem is, using the example above, the<br>

>> > <a href="https://www.wellsfargo.com" target="_blank">https://www.wellsfargo.com</a> website is still getting bumped, evidenced by<br>

>> > the<br>

>> > appearance of the ssl website in the web proxy access logs. When I don't<br>

>> > have ssl_bump enabled then no https websites appear in the access logs,<br>

>> > as<br>

>> > it should be. But, enabling ssl_bump and peek and splice, web sites that<br>

>> > I<br>

>> > am trying not to bump still seem to be getting bumped.<br>

>> ><br>

>> > Any suggestions on how to properly "not bump" certain websites.<br>

>> ><br>

>> > Thanks,<br>

>> ><br>

>> > Stan<br>

>> ><br>

>> > _______________________________________________<br>

>> > squid-users mailing list<br>

>> > <a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>

>> > <a href="http://lists.squid-cache.org/listinfo/squid-users" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>

>> ><br>

><br>

><br>

</div></div></blockquote></div><br></div>