<div dir="ltr"><br><div>Hi! I am trying to set up a HTTPs intercept proxy but I cannot get it to work. Can someone point me in the right direction? </div><div><br></div><div>I tried following the tutorial @ <a href="https://www.youtube.com/watch?v=Bogdplu_lsE">https://www.youtube.com/watch?v=Bogdplu_lsE</a> (Transparent HTTP+HTTPS Proxy with Squid and iptables)  for squid file.</div><div>and <a href="https://github.com/diladele/squid-ubuntu">https://github.com/diladele/squid-ubuntu</a> for building squid 3.5 on ubuntu. </div><div><br></div><div><b><font size="4">squid.conf file </font></b></div><div><br></div><div>acl clients src <a href="http://172.16.10.0/24" target="_blank">172.16.10.0/24</a><br>acl clients src <a href="http://172.18.10.0/24" target="_blank">172.18.10.0/24</a><br><br>http_access allow localhost<br>http_access allow clients<br>http_access deny all<br>http_port 8080<br>http_port 3128 intercept<br>https_port 3129 intercept ssl-bump cert=/etc/squid/ssl_certs/myCA.pem generate-host-certificates=on dynamic_cert_mem_cache_size=4MB<br><br>sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB<br>acl step1 at_step SslBump1<br>ssl_bump peek step1<br>ssl_bump bump all<br><br># only wait 5 seconds to terminate active connections<br>shutdown_lifetime 5<br>~                                <br></div><div><br></div><div>I am forced to use old 3.5 version of squid as I am running very old version of Vsphere supporting ubuntu 14.04 and below. </div><div><b><font size="4">Squid Cache: Version 3.5.19 </font></b></div><div>Service Name: squid<br>Ubuntu linux<br>configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' 'BUILDCXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now' '--datadir=/usr/share/squid' '--sysconfdir=/etc/squid' '--libexecdir=/usr/lib/squid' '--mandir=/usr/share/man' '--enable-inline' '--disable-arch-native' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd,rock' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth-basic=DB,fake,getpwnam,LDAP,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB' '--enable-auth-digest=file,LDAP' '--enable-auth-negotiate=kerberos,wrapper' '--enable-auth-ntlm=fake,smb_lm' '--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,time_quota,unix_group,wbinfo_group' '--enable-url-rewrite-helpers=fake' '--enable-eui' '--enable-esi' '--enable-icmp' '--enable-zph-qos' '--enable-ecap' '--disable-translation' '--with-swapdir=/var/spool/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--with-openssl' '--enable-ssl' '--enable-ssl-crtd' '--enable-build-info=Ubuntu linux' '--enable-linux-netfilter' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall' 'LDFLAGS=-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security'<br></div><div><br></div><div><br></div><div><font size="4"><b>Firewall & Nat rules added </b></font></div><div><div>sudo iptables -A INPUT -j ACCEPT -p tcp --dport 3128 -m comment --comment "squid http proxy"<br>sudo iptables -A INPUT -j ACCEPT -p tcp --dport 3129 -m comment --comment "squid https proxy"<br></div><div>sudo iptables -A INPUT -j ACCEPT -p tcp  --dport 8080 -m comment -comment "squid http8080 proxy</div></div><div><br></div><div> sudo iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -m comment --comment "transparent http proxy" -j REDIRECT --to-ports 3128<br> sudo iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 443 -m comment --comment "transparent https proxy" -j REDIRECT --to-ports 3129<br> sudo iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -m comment --comment " http 8080 proxy" -j REDIRECT --to-ports 8080<br></div><div><br></div><div><b><font size="4">CACHE.log</font></b></div><div>My machine ip: 172.16.10.5</div><div>Squid server ip(vmware): 172.18.10.15</div><div>2019/12/09 19:42:00.677 kid1| SECURITY ALERT: Host header forgery detected on local=<a href="http://172.18.10.15:3128/" target="_blank">172.18.10.15:3128</a> remote=<a href="http://172.16.10.5:35346/" target="_blank">172.16.10.5:35346</a> FD 21 flags=33 (intercepted port does not match 443)<br>2019/12/09 19:42:00.677 kid1| SECURITY ALERT: By user agent: com.google.android.youtube/1447503000 (Linux; U; Android 7.1.1; en_US; Google Chromebook Pixel (2015); Build/R79-12607.47.0; Cronet/80.0.3955.6)<br>2019/12/09 19:42:00.677 kid1| SECURITY ALERT: on URL: <a href="http://www.googleadservices.com:443/" target="_blank">www.googleadservices.com:443</a><br>2019/12/09 19:42:00.677 kid1| abandoning local=<a href="http://172.18.10.15:3128/" target="_blank">172.18.10.15:3128</a> remote=<a href="http://172.16.10.5:35346/" target="_blank">172.16.10.5:35346</a> FD 21 flags=33<br></div><div><br></div><div><b><font size="4">access.log </font></b></div><div><div>1575949926.409      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575949935.727      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575949935.834      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575949937.667      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575949939.207      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575949939.799      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575949945.905      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575949946.688      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575949950.602      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575949952.727      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575949958.849      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -</div><div><br></div><div>I am able to access <a href="http://neverssl.com/" target="_blank">neverssl.com</a>  & <a href="http://example.com">example.com</a>  (http) site but not https site.<br>1575949960.868     23 172.16.10.5 TCP_MISS/200 1869 GET <a href="http://vzwctrdxkflsnbhm.neverssl.com/online" target="_blank">http://vzwctrdxkflsnbhm.neverssl.com/online</a> - HIER_DIRECT/<a href="http://13.35.127.108/" target="_blank">13.35.127.108</a> text/html<br>1575949960.889      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575949960.939      8 172.16.10.5 TCP_MISS/200 687 GET <a href="http://vzwctrdxkflsnbhm.neverssl.com/favicon.ico" target="_blank">http://vzwctrdxkflsnbhm.neverssl.com/favicon.ico</a> - HIER_DIRECT/<a href="http://13.35.127.108/" target="_blank">13.35.127.108</a> image/png<br>1575949986.583      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575949986.709      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575949991.755      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575949998.720      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950005.659      1 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950015.981     32 172.16.10.5 TCP_MISS/301 387 GET <a href="http://www.apple.com/" target="_blank">http://www.apple.com/</a> - HIER_DIRECT/<a href="http://72.247.5.53/" target="_blank">72.247.5.53</a> -<br>1575950015.987      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950041.486      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950046.063      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950052.787      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950055.532      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950091.821      9 172.16.10.5 TCP_MISS/200 1123 GET <a href="http://www.example.com/" target="_blank">http://www.example.com/</a> - HIER_DIRECT/<a href="http://93.184.216.34/" target="_blank">93.184.216.34</a> text/html<br>1575950091.891      3 172.16.10.5 TCP_MISS/404 1131 GET <a href="http://www.example.com/favicon.ico" target="_blank">http://www.example.com/favicon.ico</a> - HIER_DIRECT/<a href="http://93.184.216.34/" target="_blank">93.184.216.34</a> text/html<br>1575950092.554      0 172.18.10.15 TCP_MISS/403 4474 POST <a href="http://stt.wifimaster.mobi/nw/ne" target="_blank">http://stt.wifimaster.mobi/nw/ne</a> - HIER_NONE/- text/html<br>1575950092.555     14 172.16.10.5 TCP_MISS/403 4576 POST <a href="http://stt.wifimaster.mobi/nw/ne" target="_blank">http://stt.wifimaster.mobi/nw/ne</a> - ORIGINAL_DST/<a href="http://172.18.10.15/" target="_blank">172.18.10.15</a> text/html<br>1575950092.719      0 172.16.10.5 TAG_NONE/409 4266 CONNECT <a href="http://googlehomefoyer-pa.googleapis.com:443/" target="_blank">googlehomefoyer-pa.googleapis.com:443</a> - HIER_NONE/- text/html<br>1575950093.732      0 172.16.10.5 TAG_NONE/409 4266 CONNECT <a href="http://googlehomefoyer-pa.googleapis.com:443/" target="_blank">googlehomefoyer-pa.googleapis.com:443</a> - HIER_NONE/- text/html<br>1575950094.152      0 172.16.10.5 TAG_NONE/409 4068 CONNECT <a href="http://cast.google.com:443/" target="_blank">cast.google.com:443</a> - HIER_NONE/- text/html<br>1575950094.820      0 172.16.10.5 TAG_NONE/409 4266 CONNECT <a href="http://googlehomefoyer-pa.googleapis.com:443/" target="_blank">googlehomefoyer-pa.googleapis.com:443</a> - HIER_NONE/- text/html<br>1575950095.895      0 172.16.10.5 TAG_NONE/409 4266 CONNECT <a href="http://googlehomefoyer-pa.googleapis.com:443/" target="_blank">googlehomefoyer-pa.googleapis.com:443</a> - HIER_NONE/- text/html<br>1575950096.704      0 172.16.10.5 TAG_NONE/409 4266 CONNECT <a href="http://googlehomefoyer-pa.googleapis.com:443/" target="_blank">googlehomefoyer-pa.googleapis.com:443</a> - HIER_NONE/- text/html<br>1575950099.451      0 172.16.10.5 TAG_NONE/409 4115 CONNECT <a href="http://play.googleapis.com:443/" target="_blank">play.googleapis.com:443</a> - HIER_NONE/- text/html<br>1575950099.684      0 172.16.10.5 TAG_NONE/409 4115 CONNECT <a href="http://play.googleapis.com:443/" target="_blank">play.googleapis.com:443</a> - HIER_NONE/- text/html<br>1575950099.780      0 172.16.10.5 TAG_NONE/409 4115 CONNECT <a href="http://play.googleapis.com:443/" target="_blank">play.googleapis.com:443</a> - HIER_NONE/- text/html<br>1575950108.646      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950112.638      2 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950113.655     16 172.16.10.5 TCP_MISS/301 592 GET <a href="http://www.cnn.com/" target="_blank">http://www.cnn.com/</a> - HIER_DIRECT/<a href="http://151.101.1.67/" target="_blank">151.101.1.67</a> -<br>1575950113.665      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950113.808      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950118.839      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950119.920      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950127.161      1 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950132.158      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950133.481      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950134.155      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950140.548      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950140.633      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950145.675      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950146.415      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950152.852      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950155.864      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950156.948      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950187.018      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950192.630      0 172.16.10.5 TAG_NONE/200 0 CONNECT <a href="http://172.18.10.15:3129/" target="_blank">172.18.10.15:3129</a> - HIER_NONE/- -<br>1575950196.056      7 172.16.10.5 TCP_MISS/204 449 GET <a href="http://www.gstatic.com/generate_204" target="_blank">http://www.gstatic.com/generate_204</a> - HIER_DIRECT/<a href="http://172.217.6.35/" target="_blank">172.217.6.35</a> -</div></div><div><br></div><div><br></div><div><br></div><div>Thanks!</div><div>Aashutosh </div><div class="gmail-yj6qo gmail-ajU" style="outline:none;padding:10px 0px;width:22px;margin:2px 0px 0px"><br></div></div>