
<div dir="ltr">I've tried using the new server_name acl you provided an example of and Jason's suggestions for getting the external acl and bumphelper script working but It only results in everything still being bumped. The website I'm trying to use as a test for non-bumping, <a href="http://wellsfargo.com">wellsfargo.com</a>, still gets bumped along with everything else.<div><br></div><div>Could it be an issue with using the website domain name and the scripts are not recognizing the website's SNI info as a match to not be bumped?</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, May 6, 2015 at 9:24 PM, Stanford Prescott <span dir="ltr"><<a href="mailto:stan.prescott@gmail.com" target="_blank">stan.prescott@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Jason helped me a lot although I am still having trouble getting that helper working. It got to the point that only the website I didn't want bumped was getting bumped because I had my logic switched in the helper script to nothing getting bumped at all. Jason pointed out that I appear to be using transparent intercept proxy and that I shouldn't do that until I have everything worked out with the regular proxy since bumping is difficult to do with transparent proxy.<div><br></div><div>I have been using transparent proxy (intercept) with the https_port declaration with great success so far as seen here</div><div><br></div><div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><i>http_port <a href="http://192.168.100.1:800" target="_blank">192.168.100.1:800</a> intercept</i></div><div><i>https_port <a href="http://192.168.100.1:808" target="_blank">192.168.100.1:808</a> intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/var/smoothwall/mods/proxy/ssl_cert/squidCA.pem</i></div></div></blockquote><i><br></i></div><div>For peek and splice should I not be using intercept?</div><div><br></div><div>I will give your suggestions a try and get back to you.</div><div><br></div><div>Also, I apologize for inadvertently not including our correspondence in the squid-users list. I was just clicking the reply button not realizing it wasn't a "reply all". I think I've got it figured out how to include the list in replies. </div><div><br></div><div>Thanks Nathan.</div><div><br></div><div>Stan</div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Wed, May 6, 2015 at 8:15 PM, Nathan Hoad <span dir="ltr"><<a href="mailto:nathan@getoffmalawn.com" target="_blank">nathan@getoffmalawn.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Stan,<br>

<br>

Yep, I think the server_name acl in 3.5.4 should provide what you want<br>

without the need for an external acl now. I haven't used it as the<br>

external acl fits my usecase. I imagine doing something like this<br>

should work for server_name though...<br>

<br>

acl sni_exclusions ssl::server_name <a href="http://wellsfargo.com" target="_blank">wellsfargo.com</a><br>

<span>acl tcp_level at_step SslBump1<br>

acl client_hello_peeked at_step SslBump2<br>

<br>

ssl_bump peek tcp_level all<br>

ssl_bump splice client_hello_peeked sni_exclusions<br>

ssl_bump bump all<br>

<br>

</span>Hopefully your other issue with your perl helper hanging has been<br>

resolved by Jason's recommendation! Though if this does what you want,<br>

you may not need the helper.<br>

<br>

Also, please try to keep messages to the mailing list - this is all<br>

information that will help others :)<br>

<br>

Thanks,<br>

<br>

Nathan.<br>

<div><div><br>

On 5 May 2015 at 13:20, Stanford Prescott <<a href="mailto:stan.prescott@gmail.com" target="_blank">stan.prescott@gmail.com</a>> wrote:<br>

> Hi Nathan. I have decided to try to go ahead and try to get peek and splice<br>

> working for Squid on the Smoothwall Express firewall distro since we will<br>

> not be able to migrate to Squid 4.x when it debuts. You previously kindly<br>

> offered an example of a squid.conf setup for me to try to get it working.<br>

><br>

> external_acl_type sni ttl=30 concurrency=X children-max=Y<br>

> children-startup=Z %ssl::>sni /path/to/your/helper<br>

><br>

> acl sni_exclusions external sni<br>

> acl tcp_level at_step SslBump1<br>

> acl client_hello_peeked at_step SslBump2<br>

><br>

> ssl_bump peek tcp_level all<br>

> ssl_bump splice client_hello_peeked sni_exclusions<br>

> ssl_bump bump all<br>

><br>

> Amos says he has back ported a server_name acl with the 3.5.4 release. Does<br>

> this now mean that the "external_acl_type" is no longer needed for this sort<br>

> of function? Specifically, I want to be able to allow my users to enter<br>

> websites that they do not want bumped, like banking websites. I wasn't able<br>

> to get the squid.conf and helper script example you provided to work for me.<br>

><br>

> Does the new server_name acl change how this can be done? Would you be able<br>

> to provide a new example for me to try based on this new acl in squid 3.5.4?<br>

><br>

> Any help is greatly appreciated.<br>

><br>

> Stan<br>

><br>

><br>

> On Sun, Apr 12, 2015 at 7:25 PM, Nathan Hoad <<a href="mailto:nathan@getoffmalawn.com" target="_blank">nathan@getoffmalawn.com</a>><br>

> wrote:<br>

>><br>

>> Hi Stan,<br>

>><br>

>> For peek and splice, you need to decide based on the SNI name, not the<br>

>> domain name, which for 3.5 means you need to use an external ACL<br>

>> helper that processes %ssl::>sni. For 4.0 there will be a server_name<br>

>> ACL you can use instead.<br>

>><br>

>> On top of that, you also need to make sure this external ACL helper<br>

>> runs at the correct "bump step", with the at_step ACL, e.g...<br>

>><br>

>> external_acl_type sni ttl=30 concurrency=X children-max=Y<br>

>> children-startup=Z %ssl::>sni /path/to/your/helper<br>

>><br>

>> acl sni_exclusions external sni<br>

>> acl tcp_level at_step SslBump1<br>

>> acl client_hello_peeked at_step SslBump2<br>

>><br>

>> ssl_bump peek tcp_level all<br>

>> ssl_bump splice client_hello_peeked sni_exclusions<br>

>> ssl_bump bump all<br>

>><br>

>> Hope that helps,<br>

>><br>

>> Nathan.<br>

>><br>

>> On 13 April 2015 at 04:12, Stanford Prescott <<a href="mailto:stan.prescott@gmail.com" target="_blank">stan.prescott@gmail.com</a>><br>

>> wrote:<br>

>> > I would like to give my users the ability to "not bump" certain sites. I<br>

>> > tried to use the examples given on the SSLPeekandSplice wiki page but<br>

>> > can't<br>

>> > get it to work.<br>

>> ><br>

>> > This is a snippet of my squid.conf file.<br>

>> ><br>

>> > https_port <a href="http://192.168.10.1:808" target="_blank">192.168.10.1:808</a> intercept ssl-bump<br>

>> > generate-host-certificates=on<br>

>> > dynamic_cert_mem_cache_size=4MB<br>

>> > cert=/var/smoothwall/mods/proxy/ssl_cert/squidCA.pem<br>

>> ><br>

>> > http_port <a href="http://192.168.20.1:800" target="_blank">192.168.20.1:800</a> intercept<br>

>> > https_port <a href="http://192.168.20.1:808" target="_blank">192.168.20.1:808</a> intercept ssl-bump<br>

>> > generate-host-certificates=on<br>

>> > dynamic_cert_mem_cache_size=4MB<br>

>> > cert=/var/smoothwall/mods/proxy/ssl_cert/squidCA.pem<br>

>> ><br>

>> > http_port <a href="http://127.0.0.1:800" target="_blank">127.0.0.1:800</a> intercept<br>

>> ><br>

>> > sslproxy_cert_error allow all<br>

>> > sslproxy_flags DONT_VERIFY_PEER<br>

>> > sslproxy_session_cache_size 4 MB<br>

>> ><br>

>> > acl serverIsBank dstdomain <a href="http://wellsfargo.com" target="_blank">wellsfargo.com</a><br>

>> ><br>

>> > ssl_bump server-first all<br>

>> ><br>

>> > ssl_bump none localhostgreen<br>

>> > ssl_bump none localhostpurple<br>

>> ><br>

>> > ssl_bump splice serverIsBank<br>

>> > ssl_bump peek all<br>

>> > ssl_bump bump all<br>

>> > sslcrtd_program /var/smoothwall/mods/proxy/libexec/ssl_crtd -s<br>

>> > /var/smoothwall/mods/proxy/lib/ssl_db -M 4MB<br>

>> > sslcrtd_children 5<br>

>> ><br>

>> ><br>

>> > When I start squid I don't get any error messages and all pages, http<br>

>> > and<br>

>> > https, load properly. The problem is, using the example above, the<br>

>> > <a href="https://www.wellsfargo.com" target="_blank">https://www.wellsfargo.com</a> website is still getting bumped, evidenced by<br>

>> > the<br>

>> > appearance of the ssl website in the web proxy access logs. When I don't<br>

>> > have ssl_bump enabled then no https websites appear in the access logs,<br>

>> > as<br>

>> > it should be. But, enabling ssl_bump and peek and splice, web sites that<br>

>> > I<br>

>> > am trying not to bump still seem to be getting bumped.<br>

>> ><br>

>> > Any suggestions on how to properly "not bump" certain websites.<br>

>> ><br>

>> > Thanks,<br>

>> ><br>

>> > Stan<br>

>> ><br>

>> > _______________________________________________<br>

>> > squid-users mailing list<br>

>> > <a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>

>> > <a href="http://lists.squid-cache.org/listinfo/squid-users" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>

>> ><br>

><br>

><br>

</div></div></blockquote></div><br></div>

</div></div></blockquote></div><br></div>