<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:"ITC Galliard Std";}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:#0563C1;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:#954F72;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri",sans-serif;}
@page WordSection1
{size:8.5in 11.0in;
margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">Can anyone point me to a deep dive or something like that about how ssl_bump and peek/splice etc work? The more technical the better. I don’t want to ask a ton of questions about some of the errors I’m getting without fully understanding
what is going on. <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I currently have squid working almost the way I want it, with just a few remaining issues. One of them being is that with ssl sites I seem to get a lot of “not private, cert authority” messages then I have to add that site to an acl to
not be bumped. Regarding my first question, I want to understand why. <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">My second question I think is a quickie. Can you run 2 log files? Reason being is that I use squidanalyzer and it only reads the standard log format. But there are better log formats for what I’m doing. I’d like to keep dual logs while
I work on my own analyzer that reads that log file. You can see the logformat line commented out along with some other log lines.
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Thanks much <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Here is my current working config. <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#Access Lists<o:p></o:p></p>
<p class="MsoNormal">acl internal src 192.168.200.0/21<o:p></o:p></p>
<p class="MsoNormal">acl wireless src 192.168.100.0/23<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#Ports allowed through Squid<o:p></o:p></p>
<p class="MsoNormal">acl Safe_ports port 80<o:p></o:p></p>
<p class="MsoNormal">acl Safe_ports port 443<o:p></o:p></p>
<p class="MsoNormal">acl SSL_ports port 443<o:p></o:p></p>
<p class="MsoNormal">acl CONNECT method CONNECT<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#acls from blacklist<o:p></o:p></p>
<p class="MsoNormal">acl allowed dstdomain -i "/etc/squid3/acls/http_allowed.acl"<o:p></o:p></p>
<p class="MsoNormal">acl prime dstdomain -i "/etc/squid3/acls/squid-prime.acl"<o:p></o:p></p>
<p class="MsoNormal">acl china dst -n "/etc/squid3/acls/ccd-china.acl"<o:p></o:p></p>
<p class="MsoNormal">acl india dst -n "/etc/squid3/acls/ccd-india.acl"<o:p></o:p></p>
<p class="MsoNormal">acl iran dst -n "/etc/squid3/acls/ccd-iran.acl"<o:p></o:p></p>
<p class="MsoNormal">acl nigeria dst -n "/etc/squid3/acls/ccd-nigeria.acl"<o:p></o:p></p>
<p class="MsoNormal">acl pakistan dst -n "/etc/squid3/acls/ccd-nigeria.acl"<o:p></o:p></p>
<p class="MsoNormal">acl romania dst -n "/etc/squid3/acls/ccd-romania.acl"<o:p></o:p></p>
<p class="MsoNormal">acl russia dst -n "/etc/squid3/acls/ccd-russia.acl"<o:p></o:p></p>
<p class="MsoNormal">acl syria dst -n "/etc/squid3/acls/ccd-syria.acl"<o:p></o:p></p>
<p class="MsoNormal">acl ukraine dst -n "/etc/squid3/acls/ccd-ukraine.acl"<o:p></o:p></p>
<p class="MsoNormal">acl uzbekistan dst -n "/etc/squid3/acls/ccd-uzbekistan.acl"<o:p></o:p></p>
<p class="MsoNormal">acl ips dst -n "/etc/squid3/acls/broken_ips.acl"<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#allow/deny<o:p></o:p></p>
<p class="MsoNormal">http_access allow allowed<o:p></o:p></p>
<p class="MsoNormal">http_access allow ips<o:p></o:p></p>
<p class="MsoNormal">http_access deny prime<o:p></o:p></p>
<p class="MsoNormal">http_access deny china<o:p></o:p></p>
<p class="MsoNormal">http_access deny india<o:p></o:p></p>
<p class="MsoNormal">http_access deny iran<o:p></o:p></p>
<p class="MsoNormal">http_access deny nigeria<o:p></o:p></p>
<p class="MsoNormal">http_access deny pakistan<o:p></o:p></p>
<p class="MsoNormal">http_access deny romania<o:p></o:p></p>
<p class="MsoNormal">http_access deny russia<o:p></o:p></p>
<p class="MsoNormal">http_access deny syria<o:p></o:p></p>
<p class="MsoNormal">http_access deny ukraine<o:p></o:p></p>
<p class="MsoNormal">http_access deny uzbekistan<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">http_access allow internal<o:p></o:p></p>
<p class="MsoNormal">http_access allow wireless<o:p></o:p></p>
<p class="MsoNormal">http_access deny !Safe_ports<o:p></o:p></p>
<p class="MsoNormal">http_access deny CONNECT !SSL_ports<o:p></o:p></p>
<p class="MsoNormal">http_access deny all<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#Bumping<o:p></o:p></p>
<p class="MsoNormal">acl step1 at_step SslBump1<o:p></o:p></p>
<p class="MsoNormal">acl step2 at_step SslBump2<o:p></o:p></p>
<p class="MsoNormal">acl step3 at_step SslBump3<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">acl broken_sites ssl::server_name_regex "/etc/squid3/acls/http_broken.txt"<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#ssl_bump peek all<o:p></o:p></p>
<p class="MsoNormal">ssl_bump peek !broken_sites<o:p></o:p></p>
<p class="MsoNormal">ssl_bump splice all<o:p></o:p></p>
<p class="MsoNormal">#ssl_bump splice !broken_sites<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">sslproxy_capath /etc/ssl/certs<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">sslcrtd_program /lib/squid3/ssl_crtd -s /etc/squid3/ssl_db -M 4MB<o:p></o:p></p>
<p class="MsoNormal">sslcrtd_children 32 startup=5 idle=1<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#logformat mine %>a %[ui %[un [%tl] "%rm %ru HTTP/%rv" %ssl::>sni %ssl::>cert_subject %>Hs %<st %Ss:%Sh<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#access_log syslog:daemon.info mine<o:p></o:p></p>
<p class="MsoNormal">#access_log daemon:/var/log/squid3/test.log mine<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#intercept<o:p></o:p></p>
<p class="MsoNormal">http_port 3128 intercept<o:p></o:p></p>
<p class="MsoNormal">https_port 3129 intercept ssl-bump cert=/etc/squid3/certs/squid.pem cafile=/etc/squid3/certs/squid.pem key=/etc/squid3/certs/squid.pem generate-host-certificates=on dynamic_cert_mem_cache_size=4MB sslflags=NO_SESSION_REUSE<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#nameservers<o:p></o:p></p>
<p class="MsoNormal">dns_nameservers 192.168.201.1 8.8.8.8<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#WCCPv2 items<o:p></o:p></p>
<p class="MsoNormal">wccp_version 2<o:p></o:p></p>
<p class="MsoNormal">wccp2_router 192.168.200.73<o:p></o:p></p>
<p class="MsoNormal">wccp2_forwarding_method gre<o:p></o:p></p>
<p class="MsoNormal">wccp2_return_method gre<o:p></o:p></p>
<p class="MsoNormal">wccp2_service standard 0 password=LNP1<o:p></o:p></p>
<p class="MsoNormal">wccp2_service dynamic 70 password=LNP1<o:p></o:p></p>
<p class="MsoNormal">wccp2_service_info 70 protocol=tcp flags=dst_ip_hash priority=240 ports=443<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:black">Bruce Markey</span></b><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:black"> | Network Security Analyst</span><span style="font-size:8.0pt;font-family:"Arial",sans-serif;color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family:"ITC Galliard Std";color:#0070C0">S</span><span style="font-size:10.0pt;font-family:"ITC Galliard Std";color:#0070C0">TEINMAN</span><span style="font-family:"ITC Galliard Std";color:#0070C0"> C</span><span style="font-size:10.0pt;font-family:"ITC Galliard Std";color:#0070C0">OMMUNICATIONS</span><span style="font-size:9.0pt;font-family:"Arial",sans-serif;color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Arial",sans-serif;color:black">717.291.8758 (o)
</span><span style="font-size:9.0pt;font-family:"Arial",sans-serif;color:#993366">| </span><u><span style="font-size:9.0pt;font-family:"Arial",sans-serif;color:#0563C1">bmarkey@steinmancommunications.com</span></u><span style="font-size:9.0pt;font-family:"Arial",sans-serif"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Arial",sans-serif;color:black">8 West King St</span><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:black"> | PO Box 1328,</span><span style="font-size:9.0pt;font-family:"Arial",sans-serif;color:black">
Lancaster, PA 17608-1328<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>