<div dir="ltr"><div><div><div><div>Squid 3.5.5 <br></div><div><br>I seem to have some confusion about how acl lists are processed in squid.conf regarding the handling of SSL (HTTPS) traffic, attempting to use ssl_bump directives with transparent proxy.<br><br></div>Based on available documentation, I believe my squid.conf is correct, however it never seems to actually behave as expected.<br><br></div>I define the SSL port, as usual:<br><br></div><div>acl SSL_ports port 443<br><br></div><div>But here's where my confusion lies... Many state to place the following line above the ssl_bump configuration lines:<br><br></div><div>http_access allow SSL_ports<br><br></div><div>However when I do this, it appears to simply stop processing any other rules and allows ALL https traffic through the proxy (which is actually how I'd expect a standard ACL list to operate, but then how do I actually filter the traffic though our content-based ACL lists?).  If I put the above line below the ssl_bump configuration options in my squid.conf, then it appears to BUMP all, even though I've told the config to SPLICE all https traffic, which doesn't work for our deployment.<br><br></div><div>So, does squid actually continue to process the https traffic using the ssl_bump rules if the "http_access allow SSL_ports" line is placed above it in the configuration?  <br><br></div><div>I should note that we've been able to get filtering to work correctly when using our configuration in NON-transparent mode, however our goal is get this functionality working as a transparent proxy.  We're unable to load our self-signed cert onto client machines that will be accessing the proxy, so using the "bump" or man-in-the-middle style https filtering isn't a viable option for us.<br><br></div><div>Any help or advice is appreciated!<br><br></div><div>Thanks,<br><br></div><div>Tom<br></div></div><div><div><div><div><div><div><div><div class="gmail_signature"><br></div></div>
</div></div></div></div></div></div></div>