<html>
  <head>
    <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <br>
    -----BEGIN PGP SIGNED MESSAGE----- <br>
    Hash: SHA256 <br>
     <br>
    First, you should put in order configurations.<br>
    <br>
    22.10.15 0:31, <a class="moz-txt-link-abbreviated" href="mailto:luizcasey@gmail.com">luizcasey@gmail.com</a> пишет:<br>
    <span style="white-space: pre;">> Hello, <br>
      > So what I am trying to accomplish here is to basically have a
      whitelist of domains that is allowed via http/https. If the UID is
      squid,apache, or root then basically you will bypass squid and
      anything is allowed. This was working well on 3.4.2 however once I
      moved to 3.5.10 it no longer works properly. I also noticed that
      there are “new” features peek,slice etc which is probably my issue
      since I was not using it. I have tried several combination and
      have only gotten it to work for http traffic. All https traffic is
      currently being blocked by the configuration. Below are my
      configurations.  I don’t need to "inspect" any of the traffic just
      want to have a whitelist of allowed domains if you are not UID
      squid,apache, or root via http/https. Any help would be
      appreciated !!<br>
      ><br>
      ><br>
      > ##### Squid.conf<br>
      ><br>
      > sslproxy_cert_error allow all</span><br>
    This setting is DANGER. Don't use it in production. Completely.<br>
    <a class="moz-txt-link-freetext" href="http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit">http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit</a><br>
    <span style="white-space: pre;">><br>
      > sslproxy_flags DONT_VERIFY_PEER<br>
      > sslcrtd_program /usr/lib64/squid/ssl_crtd -s
      /home/squid/ssl_db -M 4MB<br>
      > sslcrtd_children 50<br>
      ><br>
      > https_port 4827 intercept ssl-bump
      generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
      cert=/etc/squid/certs/squid.aarp.org.crt
      key=/etc/squid/certs/squid.key<br>
      > # HTTPS forward port<br>
      > https_port 127.0.0.1:6887 cert=/etc/squid/certs/squid.crt
      key=/etc/squid/certs/squid.key</span><br>
    HTTPS forward port: this is SSL Bumped port, or what? Where, in this
    case, ssl-bump directive? On the other hand, you don't need use
    cert/key for tunneling connections. This is enabled by default long,
    long time.<br>
    <span style="white-space: pre;">><br>
      ><br>
      > http_port 3401 transparent</span><br>
    Here must be "intercept" against transparent.<br>
    <span style="white-space: pre;">><br>
      ><br>
      > always_direct allow all</span><br>
    ^^^^^^^^^^^^^^It's too much.<br>
    <span style="white-space: pre;">><br>
      > cache deny all</span><br>
    You really sure you want completely disable all caching?<br>
    <span style="white-space: pre;">><br>
      > cache_dir ufs /home/squid/cache 100 16 256</span><br>
    Why, in this case, you define on-disk cache?<br>
    <span style="white-space: pre;">><br>
      ><br>
      > acl step2 at_step SslBump2<br>
      > acl step3 at_step SslBump3</span><br>
    This is completely unnecessary. You don't use it below.<br>
    <span style="white-space: pre;">><br>
      ><br>
      > acl http proto http<br>
      > acl https proto https</span><br>
    Why is it here?<br>
    <span style="white-space: pre;">><br>
      ><br>
      > acl port_80 port 80<br>
      > acl port_443 port 443</span><br>
    Why is it here?<br>
    <span style="white-space: pre;">><br>
      ><br>
      > http_access allow http port_80 nobumpSites<br>
      > http_access allow https port_443 nobumpSites</span><br>
    Why is it here?<br>
    <span style="white-space: pre;">><br>
      ><br>
      > http_access deny all<br>
      ><br>
      > ##### allowed_domains<br>
      > .cnn.com <a class="moz-txt-link-rfc2396E" href="http://cnn.com/"><http://cnn.com/></a><br>
      > .google.com <a class="moz-txt-link-rfc2396E" href="http://google.com/"><http://google.com/></a><br>
      > .facebook.com <a class="moz-txt-link-rfc2396E" href="http://facebook.com/"><http://facebook.com/></a><br>
      > ….etc </span><br>
    ACL and, more, access rules order is important. As by as in
    firewalls. What do you mean with "allowed_domains" and why it here?<br>
    <span style="white-space: pre;">><br>
      ><br>
      > #### squid log<br>
      > TAG_NONE/403 350 HEAD <a class="moz-txt-link-freetext" href="https://www.facebook.com/">https://www.facebook.com/</a>
      <a class="moz-txt-link-rfc2396E" href="https://www.facebook.com/"><https://www.facebook.com/></a> - HIER_NONE/- text/html<br>
      > TCP_MISS/200 593 GET <a class="moz-txt-link-freetext" href="http://www.cnn.com/">http://www.cnn.com/</a>
      <a class="moz-txt-link-rfc2396E" href="http://www.cnn.com/"><http://www.cnn.com/></a><br>
      ><br>
      ><br>
      > _______________________________________________<br>
      > squid-users mailing list<br>
      > <a class="moz-txt-link-abbreviated" href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
      > <a class="moz-txt-link-freetext" href="http://lists.squid-cache.org/listinfo/squid-users">http://lists.squid-cache.org/listinfo/squid-users</a></span><br>
    <br>
    -----BEGIN PGP SIGNATURE-----
<br>
    Version: GnuPG v2
<br>
     <br>
    iQEcBAEBCAAGBQJWJ+CYAAoJENNXIZxhPexGZFEIAMBVhb1S3qScrRDYobIF3F85
<br>
    qwslUiWPNW+D6KB3nqPmI7/mcBttn0Oi3kEJhymXPVIU/uBy6JkubT/HvfGL/w5U
<br>
    BU6aA/6B+vm3HZ2PQ8jU7pZ5SwoswUkWXCZsapMypCEtUKswS7ohboBo0Rfga3Gg
<br>
    ABg34HuGoCHVjoKCfFQwz1lmKY64VcCbjuMY+CpzGcR5bmyRuaWhAIcQLePsQFbV
<br>
    MR4KfHP/5aSaDBR8zbsm74+RG4wyodA4WGQfNlBTY/bcH3RKeIX7e3b5oZeBRYhL
<br>
    67NYBSFXtqaJsNZfUJwcWl6ZsnqQRtk/US2iO7DOCLVm1kXTjaaJWTB659xv+8M=
<br>
    =Q/qX
<br>
    -----END PGP SIGNATURE-----
<br>
    <br>
  </body>
</html>