<div dir="ltr">Dear Alex,<div><br></div><div>Thank you very much for your helpful reply.</div><div><br></div><div>I have a follow up question.  What I am trying to achieve is an https connection between the client and squid proxy, as well as listen on port 80 for http traffic, on port 443 for ssl traffic, and apply ssl-bump to the ssl traffic.  I am having trouble expressing this in my config. Would the http_port and https_port directives need to look like this?</div><div><br></div><div><div style="font-size:12.8px">http_port <a href="http://172.30.0.67:443/" target="_blank"><ip_address>:</a>80 ssl-bump cert=/path/to/some.cert.pem generate-host-certificates=on dynamic_cert_mem_cache_size=<wbr>4MB tls-dh=/usr/local/squid/etc/<wbr>dhparam.pem</div><div style="font-size:12.8px">https_port <ip_address><a href="http://172.30.0.67:443/" target="_blank">:443</a> cert=/path/to/other.cert.pem cipher=EECDH+ECDSA+AESGCM:<wbr>EECDH+aRSA+AESGCM:EECDH+ECDSA+<wbr>SHA384:EECDH+ECDSA+SHA256:<wbr>EECDH+aRSA+SHA384:EECDH+aRSA+<wbr>SHA256:EECDH+aRSA+RC4:EECDH:<wbr>EDH+aRSA:!RC4:!aNULL:!eNULL:!<wbr>LOW:!3DES:!MD5:!EXP:!PSK:!SRP:<wbr>!DSS</div></div><div><br></div><div>Also wondering what, if any, are the security issues with using port 80 for the http traffic?</div><div><br></div><div>Thank you,</div><div>-Masha</div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, May 26, 2017 at 7:19 AM, Alex Rousskov <span dir="ltr"><<a href="mailto:rousskov@measurement-factory.com" target="_blank">rousskov@measurement-factory.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 05/26/2017 12:00 AM, Masha Lifshin wrote:<br>
> I have added an https_port directive<br>
> to squid.conf, but it must be misconfigured.<br>
<br>
</span>> http_port <a href="http://172.30.0.67:443" rel="noreferrer" target="_blank">172.30.0.67:443</a> ...<br>
> https_port <a href="http://172.30.0.67:443" rel="noreferrer" target="_blank">172.30.0.67:443</a> ...<br>
<br>
You are right -- your Squid is misconfigured. You cannot use the same<br>
address for two ports. Unfortunately, Squid thinks that port binding<br>
errors are a minor inconvenience and continues running after logging an<br>
error message (that looks like many other benign error messages).<br>
<br>
Changing one of the ports will solve the "same address" problem<br>
described above.<br>
<br>
Do not use port 443 for http_port. It makes triage extremely confusing<br>
because port 443 usually implies SSL. Consider using port 3128 instead.<br>
<br>
<br>
HTH,<br>
<br>
Alex.<br>
<br>
<br>
</blockquote></div><br></div></div>