<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(7,55,99)"><br></div><br><div class="gmail_quote"><div dir="ltr">On Wed, Jul 11, 2018 at 7:03 PM Hess, Niklas <<a href="mailto:Niklas.Hess@webit-wetterau.de">Niklas.Hess@webit-wetterau.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<div lang="DE">

<div class="gmail-m_-7711544247411877116WordSection1">

<p class="MsoNormal"><span lang="EN-GB">Hello list,<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">I´m setting up a Squid proxy specifically to scan the incoming traffic from a cloud platform.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">ClamAV should scan the incoming traffic.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">So far so good.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">The cloud uses WebDAV over HTTPS, so I have to SSL-Bump the incoming traffic via Peek and Splice Feature.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">That works indeed with the CA signed internal Certificate.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">But as soon as I add a cache_peer as a “parent proxy” it does not work. (This request could not be forwarded to the origin server or to any parent caches.)<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">I just get “FwdState.cc(813) connectStart: fwdConnectStart: Ssl bumped connections through parent proxy are not allowed” in the cache.log<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">And yes I know ssl-bump through a parent proxy is an security issue and might be unsecure, but the connection to the parent is internal, save and secure.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">I don’t know how, but could there be a way to “comment out” the section in fwdConnectStart source file?<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">Squid Cache: Version 3.5.27<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">Service Name: squid<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">configure options:  '--with-openssl' '--enable-ssl-crtd'<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">Here´s my “minimal” SSL-Bump config:<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">### Start config<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">debug_options ALL,6<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">shutdown_lifetime 1 seconds<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">http_port 8080 ssl-bump cert=/usr/local/squid/etc/ssl_cert/Squidtest.pem generate-host-certificates=on dynamic_cert_mem_cache_size=4MB<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">sslcrtd_program /usr/local/squid/libexec/ssl_crtd -s /var/lib/ssl_db -M 4MB<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">sslcrtd_children 25 startup=5 idle=10<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">cache_peer 10.106.3.66 parent 8080 0 no-query no-digest name=parent<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">never_direct allow all<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">sslproxy_cert_error allow all<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">sslproxy_flags DONT_VERIFY_PEER<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">ssl_bump bump all</span></p></div></div></blockquote><div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(7,55,99);display:inline">Did you forget to copy at_step acls?</div></div><div><br></div><div><div class="gmail_default" style="display:inline"><font color="#073763" face="verdana, sans-serif"><div>acl step1 at_step SslBump1</div><div>acl step2 at_step SslBump2</div><div>acl step3 at_step SslBump3</div></font></div></div><div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(7,55,99);display:inline"></div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="DE"><div class="gmail-m_-7711544247411877116WordSection1"><p class="MsoNormal"><span lang="EN-GB"><u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">http_access allow all<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">### End config<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">Thanks for any help!<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB">Niklas<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>

</div>

<br>

<font size="2" face="Arial">Azubi Niklas Hess </font><br>

<font size="2" face="Arial"><strong>Team Applikation-Management</strong><br>

</font>

<p><font size="2" face="Arial"><strong>Eigenbetrieb Informationstechnologie des Wetteraukreises</strong><br>

61169 Friedberg<br>

Europaplatz<br>

Gebäude B<br>

Tel.: 06031 83-6526<br>

Mobil: </font><font size="2" face="Arial"><br>

Fax.: 06031 83-916526<br>

<a href="http://www.wetteraukreis.de" target="_blank">www.wetteraukreis.de</a></font></p>

<font color="#000000" size="1" face="Arial"><font size="1">

<p>Informationen zum Datenschutz erhalten sie über unsere Datenschutzseite <a href="http://www.datenschutz.wetterau.de/" target="_blank">

www.datenschutz.wetterau.de</a><br>

Diese E-Mail enth</p></font><font size="1" face="Arial">ält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind, informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie

 die unbefugte Weitergabe dieser E-Mail ist nicht gestattet.

</font><font size="2" face="Arial"></font></font><br>

</div>

_______________________________________________<br>

squid-users mailing list<br>

<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>

<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>

</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><br></div><div>- Kedar</div></div></div></div>