<html>
  <head>
    <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <br>
    -----BEGIN PGP SIGNED MESSAGE----- <br>
    Hash: SHA256 <br>
     <br>
    Show as access.log/cache.log for denied HTTPS sites.<br>
    <br>
    All others confir quirks will remain onto your responsibility - Amos
    come and explain when I/you wrong. ;)<br>
    <br>
    22.10.15 1:52, <a class="moz-txt-link-abbreviated" href="mailto:luizcasey@gmail.com">luizcasey@gmail.com</a> пишет:<br>
    <span style="white-space: pre;">> I answered your questions
      below. However https traffic is still always being denied even
      though the site is on the allowed_list via nobumpSites.<br>
      > I want to control http/https traffic using the
      “allowed_domains” list. This current configuration works for HTTP
      but not HTTPS traffic.<br>
      ><br>
      > If there is an easier way to do this I am open for
      suggestion. This configuration minus the peek/splice part works
      fine in 3.4.2. Not sure what changed in<br>
      > 3.5 that causes this to fail.<br>
      ><br>
      ><br>
      >> Date: Thu, 22 Oct 2015 00:59:36 +0600<br>
      >> From: Yuri Voinov <a class="moz-txt-link-rfc2396E" href="mailto:yvoinov@gmail.com"><yvoinov@gmail.com></a><br>
      >> To: <a class="moz-txt-link-abbreviated" href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
      >> Subject: Re: [squid-users] Squid 3.5.10 SSL Bump
      whitelist domains<br>
      >>     issue<br>
      >> Message-ID: <a class="moz-txt-link-rfc2396E" href="mailto:5627E098.1000004@gmail.com"><5627E098.1000004@gmail.com></a><br>
      >> Content-Type: text/plain; charset="utf-8"<br>
      >><br>
      >><br>
      > First, you should put in order configurations.<br>
      ><br>
      > 22.10.15 0:31, <a class="moz-txt-link-abbreviated" href="mailto:luizcasey@gmail.com">luizcasey@gmail.com</a> пишет:<br>
      > >>> Hello,<br>
      > >>> So what I am trying to accomplish here is to
      basically have a<br>
      > whitelist of domains that is allowed via http/https. If the
      UID is<br>
      > squid,apache, or root then basically you will bypass squid
      and anything<br>
      > is allowed. This was working well on 3.4.2 however once I
      moved to<br>
      > 3.5.10 it no longer works properly. I also noticed that there
      are “new”<br>
      > features peek,slice etc which is probably my issue since I
      was not using<br>
      > it. I have tried several combination and have only gotten it
      to work for<br>
      > http traffic. All https traffic is currently being blocked by
      the<br>
      > configuration. Below are my configurations.  I don’t need to
      "inspect"<br>
      > any of the traffic just want to have a whitelist of allowed
      domains if<br>
      > you are not UID squid,apache, or root via http/https. Any
      help would be<br>
      > appreciated !!<br>
      > >>><br>
      > >>><br>
      > >>> ##### Squid.conf<br>
      > >>><br>
      > >>> sslproxy_cert_error allow all<br>
      > This setting is DANGER. Don't use it in production.
      Completely.<br>
      >
      <a class="moz-txt-link-freetext" href="http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit">http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit</a><br>
      > >>><br>
      > >>> sslproxy_flags DONT_VERIFY_PEER<br>
      > >>> sslcrtd_program /usr/lib64/squid/ssl_crtd -s
      /home/squid/ssl_db -M 4MB<br>
      > >>> sslcrtd_children 50<br>
      > >>><br>
      > >>> https_port 4827 intercept ssl-bump
      generate-host-certificates=on<br>
      > dynamic_cert_mem_cache_size=4MB
      cert=/etc/squid/certs/squid.aarp.org.crt<br>
      > key=/etc/squid/certs/squid.key<br>
      > >>> # HTTPS forward port<br>
      > >>> https_port 127.0.0.1:6887
      cert=/etc/squid/certs/squid.crt<br>
      > key=/etc/squid/certs/squid.key<br>
      > HTTPS forward port: this is SSL Bumped port, or what? Where,
      in this<br>
      > case, ssl-bump directive? On the other hand, you don't need
      use cert/key<br>
      > for tunneling connections. This is enabled by default long,
      long time.<br>
      > >>><br>
      > >>><br>
      > >>> http_port 3401 transparent<br>
      > Here must be "intercept" against transparent.<br>
      > >>><br>
      > >>><br>
      > >>> always_direct allow all<br>
      > ^^^^^^^^^^^^^^It's too much.<br>
      > >>><br>
      > >>> cache deny all<br>
      > You really sure you want completely disable all caching?<br>
      > >>><br>
      > >>> cache_dir ufs /home/squid/cache 100 16 256<br>
      > Why, in this case, you define on-disk cache?<br>
      > > Removed<br>
      > >>><br>
      > >>><br>
      > >>> acl step2 at_step SslBump2<br>
      > >>> acl step3 at_step SslBump3<br>
      > This is completely unnecessary. You don't use it below.<br>
      > > Removed<br>
      > >>><br>
      > >>><br>
      > >>> acl http proto http<br>
      > >>> acl https proto https<br>
      > Why is it here?<br>
      > > To only allow http and https proto<br>
      > >>><br>
      > >>><br>
      > >>> acl port_80 port 80<br>
      > >>> acl port_443 port 443<br>
      > Why is it here?<br>
      > > To only allow port 80 and 443<br>
      > >>><br>
      > >>><br>
      > >>> http_access allow http port_80 nobumpSites<br>
      > >>> http_access allow https port_443 nobumpSites<br>
      > Why is it here?<br>
      > > To only allow access to nobumpSites on port 80 and 443<br>
      > >>><br>
      > >>><br>
      > >>> http_access deny all<br>
      > >>><br>
      > >>> ##### allowed_domains<br>
      > >>> .cnn.com <a class="moz-txt-link-rfc2396E" href="http://cnn.com/"><http://cnn.com/></a><br>
      > >>> .google.com <a class="moz-txt-link-rfc2396E" href="http://google.com/"><http://google.com/></a><br>
      > >>> .facebook.com <a class="moz-txt-link-rfc2396E" href="http://facebook.com/"><http://facebook.com/></a><br>
      > >>> ….etc<br>
      > ACL and, more, access rules order is important. As by as in
      firewalls.<br>
      > What do you mean with "allowed_domains" and why it here?<br>
      > >>><br>
      > >>><br>
      > >>> #### squid log<br>
      > >>> TAG_NONE/403 350 HEAD <a class="moz-txt-link-freetext" href="https://www.facebook.com/">https://www.facebook.com/</a><br>
      > <a class="moz-txt-link-rfc2396E" href="https://www.facebook.com/"><https://www.facebook.com/></a> - HIER_NONE/- text/html<br>
      > >>> TCP_MISS/200 593 GET <a class="moz-txt-link-freetext" href="http://www.cnn.com/">http://www.cnn.com/</a>
      <a class="moz-txt-link-rfc2396E" href="http://www.cnn.com/"><http://www.cnn.com/></a><br>
      > >>><br>
      > >>><br>
      > >>> _______________________________________________<br>
      > >>> squid-users mailing list<br>
      > >>> <a class="moz-txt-link-abbreviated" href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
      > >>>
      <a class="moz-txt-link-freetext" href="http://lists.squid-cache.org/listinfo/squid-users">http://lists.squid-cache.org/listinfo/squid-users</a><br>
      ><br>
      ><br>
      > _______________________________________________<br>
      > squid-users mailing list<br>
      > <a class="moz-txt-link-abbreviated" href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
      > <a class="moz-txt-link-freetext" href="http://lists.squid-cache.org/listinfo/squid-users">http://lists.squid-cache.org/listinfo/squid-users</a></span><br>
    <br>
    -----BEGIN PGP SIGNATURE-----
<br>
    Version: GnuPG v2
<br>
     <br>
    iQEcBAEBCAAGBQJWJ+7zAAoJENNXIZxhPexGjrkH/ihm3ZhfpjGXb23Dte0ssSr6
<br>
    CTJGmZtpT9oX8avFxHJhOPO0R8w+aleMChKIKTDwSTBk1+Mq24J9NC9D+Nut48/p
<br>
    gJqr+uyY5TseVghneDAxWtMsuxXFGeErbDaOwsBsxxyJDDsSJ51QTbDJ2tocHM6I
<br>
    yYdK/vblNuhYzDrmbXvh7fHa0+73LooioE8qdsTVKgXeqqvpzUcRF1Ckpm9RuRZB
<br>
    a3j2PxdEcV7wxwuwcFOJH7jX0cUQiuA3NzVCw573ebyZ9IZ5KJgXku5aco5LNUgx
<br>
    g9zQLlEmNXzkOQbxsz8+ZeHk8z/D08x4Ccu2Kg3mhJ+jyjGGn6Y9D11JKaHrHE4=
<br>
    =Zam6
<br>
    -----END PGP SIGNATURE-----
<br>
    <br>
  </body>
</html>