<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:"ITC Galliard Std";}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">I’m running debian Jessie. <o:p></o:p></p>
<p class="MsoNormal">Squid 3.5.16 compiled from source with the following:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">./configure --build=x86_64-linux-gnu \<o:p></o:p></p>
<p class="MsoNormal">--prefix=/usr \<o:p></o:p></p>
<p class="MsoNormal">--includedir=${prefix}/include \<o:p></o:p></p>
<p class="MsoNormal">--mandir=${prefix}/share/man \<o:p></o:p></p>
<p class="MsoNormal">--infodir=${prefix}/share/info \<o:p></o:p></p>
<p class="MsoNormal">--sysconfdir=/etc \<o:p></o:p></p>
<p class="MsoNormal">--localstatedir=/var \<o:p></o:p></p>
<p class="MsoNormal">--libexecdir=${prefix}/lib/squid3 \<o:p></o:p></p>
<p class="MsoNormal">--srcdir=. \<o:p></o:p></p>
<p class="MsoNormal">--disable-maintainer-mode \<o:p></o:p></p>
<p class="MsoNormal">--disable-dependency-tracking \<o:p></o:p></p>
<p class="MsoNormal">--disable-silent-rules \<o:p></o:p></p>
<p class="MsoNormal">--datadir=/usr/share/squid3 \<o:p></o:p></p>
<p class="MsoNormal">--sysconfdir=/etc/squid3 \<o:p></o:p></p>
<p class="MsoNormal">--mandir=/usr/share/man \<o:p></o:p></p>
<p class="MsoNormal">--enable-inline \<o:p></o:p></p>
<p class="MsoNormal">--enable-gnuregex \<o:p></o:p></p>
<p class="MsoNormal">--enable-xmalloc-statistics \<o:p></o:p></p>
<p class="MsoNormal">--enable-useragent-log \<o:p></o:p></p>
<p class="MsoNormal">--enable-kill-parent-hack \<o:p></o:p></p>
<p class="MsoNormal">--enable-htpc \<o:p></o:p></p>
<p class="MsoNormal">--enable-forw-via-db \<o:p></o:p></p>
<p class="MsoNormal">--enable-dl-malloc \<o:p></o:p></p>
<p class="MsoNormal">--enable-time-hack \<o:p></o:p></p>
<p class="MsoNormal">--enable-err-language=English \<o:p></o:p></p>
<p class="MsoNormal">--disable-arch-native \<o:p></o:p></p>
<p class="MsoNormal">--enable-async-io=8 \<o:p></o:p></p>
<p class="MsoNormal">--enable-storeio=ufs,aufs,diskd,rock \<o:p></o:p></p>
<p class="MsoNormal">--enable-removal-policies=lru,heap \<o:p></o:p></p>
<p class="MsoNormal">--enable-delay-pools \<o:p></o:p></p>
<p class="MsoNormal">--enable-cache-digests \<o:p></o:p></p>
<p class="MsoNormal">--enable-icap-client \<o:p></o:p></p>
<p class="MsoNormal">--enable-follow-x-forwarded-for \<o:p></o:p></p>
<p class="MsoNormal">--enable-auth-basic=DB,fake,getpwnam,LDAP,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB \<o:p></o:p></p>
<p class="MsoNormal">--enable-auth-digest=file,LDAP \<o:p></o:p></p>
<p class="MsoNormal">--enable-auth-negotiate=kerberos,wrapper \<o:p></o:p></p>
<p class="MsoNormal">--enable-auth-ntlm=fake,smb_lm \<o:p></o:p></p>
<p class="MsoNormal">--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,unix_group,wbinfo_group \<o:p></o:p></p>
<p class="MsoNormal">--enable-url-rewrite-helpers=fake \<o:p></o:p></p>
<p class="MsoNormal">--enable-eui \<o:p></o:p></p>
<p class="MsoNormal">--enable-esi \<o:p></o:p></p>
<p class="MsoNormal">--enable-icmp \<o:p></o:p></p>
<p class="MsoNormal">--enable-zph-qos \<o:p></o:p></p>
<p class="MsoNormal">--enable-ecap \<o:p></o:p></p>
<p class="MsoNormal">--disable-translation \<o:p></o:p></p>
<p class="MsoNormal">--with-swapdir=/var/spool/squid3 \<o:p></o:p></p>
<p class="MsoNormal">--with-logdir=/var/log/squid3 \<o:p></o:p></p>
<p class="MsoNormal">--with-pidfile=/var/run/squid3.pid \<o:p></o:p></p>
<p class="MsoNormal">--with-filedescriptors=65536 \<o:p></o:p></p>
<p class="MsoNormal">--with-large-files \<o:p></o:p></p>
<p class="MsoNormal">--with-default-user=proxy \<o:p></o:p></p>
<p class="MsoNormal">--enable-ssl \<o:p></o:p></p>
<p class="MsoNormal">--enable-ssl-crtd \<o:p></o:p></p>
<p class="MsoNormal">--enable-wccpv2 \<o:p></o:p></p>
<p class="MsoNormal">--with-openssl \<o:p></o:p></p>
<p class="MsoNormal">--enable-linux-netfilter \<o:p></o:p></p>
<p class="MsoNormal">'CFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security -Wall' \<o:p></o:p></p>
<p class="MsoNormal">'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' \<o:p></o:p></p>
<p class="MsoNormal">'CPPFLAGS=-D_FORTIFY_SOURCE=2' \<o:p></o:p></p>
<p class="MsoNormal">'CXXFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security'<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Here is my squid.conf <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#Access Lists<o:p></o:p></p>
<p class="MsoNormal">acl internal src 192.168.200.0/21<o:p></o:p></p>
<p class="MsoNormal">acl wireless src 192.168.100.0/23<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#Ports allowed through Squid<o:p></o:p></p>
<p class="MsoNormal">acl Safe_ports port 80<o:p></o:p></p>
<p class="MsoNormal">acl Safe_ports port 443<o:p></o:p></p>
<p class="MsoNormal">acl SSL_ports port 443<o:p></o:p></p>
<p class="MsoNormal">acl CONNECT method CONNECT<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#allow/deny<o:p></o:p></p>
<p class="MsoNormal">http_access allow internal<o:p></o:p></p>
<p class="MsoNormal">http_access allow wireless<o:p></o:p></p>
<p class="MsoNormal">http_access deny !Safe_ports<o:p></o:p></p>
<p class="MsoNormal">http_access deny CONNECT !SSL_ports<o:p></o:p></p>
<p class="MsoNormal">http_access deny all<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#Bumping<o:p></o:p></p>
<p class="MsoNormal">acl step1 at_step SslBump1<o:p></o:p></p>
<p class="MsoNormal">acl step2 at_step SslBump2<o:p></o:p></p>
<p class="MsoNormal">acl step3 at_step SslBump3<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">ssl_bump peek all<o:p></o:p></p>
<p class="MsoNormal">ssl_bump splice all<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">sslproxy_capath /etc/ssl/certs<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">sslcrtd_program /usr/lib/squid3/ssl_crtd -s /etc/squid3/ssl_db -M 4MB<o:p></o:p></p>
<p class="MsoNormal">sslcrtd_children 5<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">logformat mine %>a %[ui %[un [%tl] "%rm %ru HTTP/%rv" %ssl::>sni %ssl::>cert_subject %>Hs %<st %Ss:%Sh<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#access_log syslog:daemon.info mine<o:p></o:p></p>
<p class="MsoNormal">access_log daemon:/var/log/squid3/access.log mine<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#intercept<o:p></o:p></p>
<p class="MsoNormal">http_port 3128 intercept<o:p></o:p></p>
<p class="MsoNormal">https_port 3129 intercept ssl-bump cert=/etc/squid3/certs/squid.pem cafile=/etc/squid3/certs/squid.pem key=/etc/squid3/certs/squid.pem  generate-host-cer<o:p></o:p></p>
<p class="MsoNormal">tificates=on dynamic_cert_mem_cache_size=4MB sslflags=NO_SESSION_REUSE<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#nameservers<o:p></o:p></p>
<p class="MsoNormal">dns_nameservers 192.168.201.1 8.8.8.8<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#WCCPv2 items<o:p></o:p></p>
<p class="MsoNormal">wccp_version 2<o:p></o:p></p>
<p class="MsoNormal">wccp2_router 192.168.200.73<o:p></o:p></p>
<p class="MsoNormal">wccp2_forwarding_method gre<o:p></o:p></p>
<p class="MsoNormal">wccp2_return_method gre<o:p></o:p></p>
<p class="MsoNormal">wccp2_service standard 0 password=LNP1<o:p></o:p></p>
<p class="MsoNormal">wccp2_service dynamic 70 password=LNP1<o:p></o:p></p>
<p class="MsoNormal">wccp2_service_info 70 protocol=tcp flags=dst_ip_hash priority=240 ports=443<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">-I did initialize the ssl_db<o:p></o:p></p>
<p class="MsoNormal">-I did create certs<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I’m simply trying to start via :  sudo squid   It throws no errors nothing.  The pid lives for a sec then dies. This is the only log message I get.
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Apr  7 11:51:19 LNP-Proxy (squid-1): The ssl_crtd helpers are crashing too rapidly, need help!<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I tried deleting and recreating the ssl_db as I saw from a few other posts, did not work.
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Other info:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Tunnel is up:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">gre0: gre/ip  remote any  local any  ttl inherit  nopmtudisc<o:p></o:p></p>
<p class="MsoNormal">wccp0: gre/ip  remote 192.168.200.73  local 192.168.201.248  dev eth3  ttl inherit<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Iptables:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">bruce@LNP-Proxy:/var/log$ sudo iptables -t nat -L<o:p></o:p></p>
<p class="MsoNormal">Chain PREROUTING (policy ACCEPT)<o:p></o:p></p>
<p class="MsoNormal">target     prot opt source               destination        
<o:p></o:p></p>
<p class="MsoNormal">DNAT       tcp  --  anywhere             anywhere             tcp dpt:http to:192.168.201.248:3128<o:p></o:p></p>
<p class="MsoNormal">DNAT       tcp  --  anywhere             anywhere             tcp dpt:https to:192.168.201.248:3129<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Chain INPUT (policy ACCEPT)<o:p></o:p></p>
<p class="MsoNormal">target     prot opt source               destination        
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Chain OUTPUT (policy ACCEPT)<o:p></o:p></p>
<p class="MsoNormal">target     prot opt source               destination        
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Chain POSTROUTING (policy ACCEPT)<o:p></o:p></p>
<p class="MsoNormal">target     prot opt source               destination<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I’m not sure what to even check next.  I cant do a sudo squid –k debug since the process doesn’t last long enough.
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Thanks<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:black">Bruce Markey</span></b><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:black"> | Network Security Analyst</span><span style="font-size:8.0pt;font-family:"Arial",sans-serif;color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family:"ITC Galliard Std";color:#0070C0">S</span><span style="font-size:10.0pt;font-family:"ITC Galliard Std";color:#0070C0">TEINMAN</span><span style="font-family:"ITC Galliard Std";color:#0070C0"> C</span><span style="font-size:10.0pt;font-family:"ITC Galliard Std";color:#0070C0">OMMUNICATIONS</span><span style="font-size:9.0pt;font-family:"Arial",sans-serif;color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Arial",sans-serif;color:black">717.291.8758 (o)
</span><span style="font-size:9.0pt;font-family:"Arial",sans-serif;color:#993366">| </span><u><span style="font-size:9.0pt;font-family:"Arial",sans-serif;color:#0563C1">bmarkey@steinmancommunications.com</span></u><span style="font-size:9.0pt;font-family:"Arial",sans-serif"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Arial",sans-serif;color:black">8 West King St</span><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:black"> | PO Box 1328,</span><span style="font-size:9.0pt;font-family:"Arial",sans-serif;color:black">
 Lancaster, PA 17608-1328<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>