<div dir="ltr">Hi Amos. Thanks for pointing it out - but this has never been an acl-related issue, more like a https_port / ssl-bump configuration question when the upstream ssl request was not sending a "CONNECT <a href="http://www.example.org:443">www.example.org:443</a>" but a "GET htttps://<a href="http://www.example.org">www.example.org</a>".<div><br></div><div>For the sake of testing one can simply get rid of the acls and set "allow all", it wouldn't matter - this line "<span style="font-family:monospace,monospace;font-size:12.800000190734863px">ssl_bump splice all" is the answer most people were looking for I supposed. </span></div><div><br></div><div>Best regards.<br><div><br></div><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Aug 20, 2017 at 10:31 AM, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 20/08/17 14:38, Diogenes S. Jesus wrote:><br>
</span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
* squid.conf:<br>
-----------------------<br>
acl localhost src <a href="http://127.0.0.0/8" rel="noreferrer" target="_blank">127.0.0.0/8</a> <<a href="http://127.0.0.0/8" rel="noreferrer" target="_blank">http://127.0.0.0/8</a>><br>
acl localnet src <a href="http://192.168.100.0/24" rel="noreferrer" target="_blank">192.168.100.0/24</a> <<a href="http://192.168.100.0/24" rel="noreferrer" target="_blank">http://192.168.100.0/24</a>> <a href="http://192.168.101.0/24" rel="noreferrer" target="_blank">192.168.101.0/24</a> <<a href="http://192.168.101.0/24" rel="noreferrer" target="_blank">http://192.168.101.0/24</a>> <a href="http://172.16.0.0/12" rel="noreferrer" target="_blank">172.16.0.0/12</a> <<a href="http://172.16.0.0/12" rel="noreferrer" target="_blank">http://172.16.0.0/12</a>><span class=""><br>
acl SSL_ports port 443<br>
acl Safe_ports port 80# http<br></span>
acl Safe_ports port 443# https<span class=""><br>
acl CONNECT method CONNECT<br>
<br>
http_access allow  localhost localnet<br>
http_access deny !Safe_ports<br>
http_access deny CONNECT !SSL_ports<br>
http_access deny all<br>
<br>
</span></blockquote>
<br>
Those http_access rules contain an impossible condition.<br>
<br>
The src-IP cannot simultaneously be having a value in the 127/8 network range *and* in one of the RFC1918 ranges. So there is no way anything is ever allowed to use this proxy.<br>
<br>
I suspect it was working due to a recently fixed bug where the CONNECT message was not consistently passed through http_access controls sometimes in the first SSL-Bump step. Do not expect that to work much longer.<div class="HOEnZb"><div class="h5"><br>
<br>
Amos<br>
______________________________<wbr>_________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.<wbr>org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/l<wbr>istinfo/squid-users</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><br>--------<br><br>Diogenes S. de Jesus</div></div></div>
</div>