<div dir="ltr">This is what needs to be done to get it to work in squid >3.5 in function ClientRequestContext::hostHeaderIpVerify(const ipcache_addrs* ia, const Dns::LookupDetails &dns):<div><br></div><div>modify:</div><div>    }<br><div>    debugs(85, 3, HERE << "FAIL: validate IP " << clientConn->local << " possible from Host:");<br></div><div><br></div><div>to:</div><div>    }</div><div><div>    if (!Config.onoff.hostStrictVerify) {</div><div>                if ((ia != NULL) && (ia->count > 0)) {</div><div>                        unsigned short _port = clientConn->local.port();</div><div>                        clientConn->local = ia->in_addrs[0];</div><div>                        clientConn->local.port(_port);</div><div>                        http->request->flags.hostVerified = true;</div><div>                        http->doCallouts();</div><div>                        return;</div><div>                }</div><div>    }</div></div><div>    debugs(85, 3, HERE << "FAIL: validate IP " << clientConn->local << " possible from Host:");</div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 6, 2016 at 2:14 AM, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 6/01/2016 8:30 a.m., Nir Krakowski wrote:<br>
> how can you combine accel proxy with ssl-bump ?<br>
><br>
<br>
</span>To use accel mode the proxy needs to be an origin for the domain and<br>
thus have access to the servers TLS private keys. If you have those keys<br>
just use a normal https_port (note the 's') to receive the traffic - no<br>
bumping (TLS MITM) required.<br>
<span class=""><br>
<br>
> the problem: intercept mode looks at IP addresses<br>
><br>
> requested solution: we need to look at the SNI info..<br>
<br>
</span>You dont seem to understand intercept mode. It is TCP level MITM.<br>
All the proxy receives from TCP is IP address and port details. So those<br>
are considered *first*.<br>
<br>
Only if those details are acceptible (in the form of "CONNECT raw-IP<br>
HTTP/1.1") does Squid go on to do the additional complexity of MITM at<br>
the TLS level.<br>
<span class="HOEnZb"><font color="#888888"><br>
Amos<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</div></div></blockquote></div><br></div>