
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;

        mso-fareast-language:EN-US;}

span.EmailStyle19

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:612.0pt 792.0pt;

        margin:72.0pt 72.0pt 72.0pt 72.0pt;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-GB" link="#0563C1" vlink="#954F72" style="word-wrap:break-word">

<div class="WordSection1">

<p class="MsoNormal">My apologies, that config snippet was not correct.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Besides I’ve managed to configure it using localport acl’s to detect which port the request came in on and bump accordingly. Not sure if this is the best way.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Thanks for listening.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">For info for anyone else interested<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">acl localnet src 10.0.0.0/8     # RFC1918 possible internal network<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">acl localnet src 172.16.0.0/12  # RFC1918 possible internal network<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">acl localnet src 192.168.0.0/16 # RFC1918 possible internal network<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">acl localnet src fc00::/7       # RFC 4193 local private network range<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">acl connectport localport 3128<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">http_port 10.0.0.36:3129 intercept<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">https_port 10.0.0.36:3130 intercept ssl-bump \<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">        cert=/etc/squid/ssl_cert/squid-ca-cert.pem \<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">        generate-host-certificates=on dynamic_cert_mem_cache_size=4MB<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">http_port 10.0.0.36:3128 ssl-bump \<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">        cert=/etc/squid/ssl_cert/squid-ca-cert.pem \<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">        generate-host-certificates=on dynamic_cert_mem_cache_size=4MB<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">http_access allow localnet<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">http_access allow localhost<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">http_access deny all<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">acl step1 at_step SslBump1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">acl step2 at_step SslBump2<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">acl step3 at_step SslBump3<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">ssl_bump bump connectport<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">ssl_bump peek all<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">ssl_bump splice all<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New""><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:12.0pt">Cheers<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:12.0pt"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:12.0pt">Graham<o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">

<p class="MsoNormal"><b><span lang="EN-US" style="mso-fareast-language:EN-GB">From:</span></b><span lang="EN-US" style="mso-fareast-language:EN-GB"> squid-users <squid-users-bounces@lists.squid-cache.org>

<b>On Behalf Of </b>Graham Wharton<br>

<b>Sent:</b> 04 September 2021 11:44<br>

<b>To:</b> squid-users@lists.squid-cache.org<br>

<b>Subject:</b> [squid-users] Configuring SSL Bump on CONNECT, but no SSL Bump on Transparent<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Hi all,<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Squid 3.5.20<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I am attempting to configure the following<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Port 3128 = Accepts CONNECT requests with SSL Bump for all sites<o:p></o:p></p>

<p class="MsoNormal">Port 3129 = HTTP port for transparent proxy<o:p></o:p></p>

<p class="MsoNormal">Port 3130 = HTTPS port for transparent proxy – NO SSL Bump, all sites should always TUNNEL<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Is the above config possible?<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">The relevant sections of my config are<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">#TANSPARENT<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">http_port 10.0.0.36:3129<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">https_port 10.0.0.36:3130<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New""><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">#CONNECT<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">http_port 10.0.0.36:3128 ssl-bump \<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">        cert=/etc/squid/ssl_cert/squid-ca-cert.pem \<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">        generate-host-certificates=on dynamic_cert_mem_cache_size=4MB<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New""><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">#Permissions<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">http_access allow localnet<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">http_access allow localhost<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">http_access deny all<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New""><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">##Steps<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">acl step1 at_step SslBump1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">acl step2 at_step SslBump2<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">acl step3 at_step SslBump3<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New""><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">#Bump Rules<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">ssl_bump peek step1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">ssl_bump bump all<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">ssl_bump splice all<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New""><o:p> </o:p></span></p>

<p class="MsoNormal">All appears to work correctly, apart from transparent connections for HTTPS. These are getting bumped.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">According to the logs<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">2021/09/04 10:38:54.129 kid1| 5,2| TcpAcceptor.cc(218) doAccept: New connection on FD 30<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">2021/09/04 10:38:54.129 kid1| 5,2| TcpAcceptor.cc(293) acceptNext: connection on local=10.0.0.36:3130 remote=[::] FD 30 flags=41<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New"">2021/09/04 10:38:54.129 kid1| 33,2| client_side.cc(3920) httpsSslBumpAccessCheckDone: sslBump needed for local=142.250.187.196:443 remote=10.0.1.254:51928 FD 12 flags=33 method 3<o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Looking at the code, it would appear that because the destination is ALLOWED for the ssl_bump acl, the connection is automatically upgraded to ssl_bump by the httpsSslBumpAccessCheckDone function. But this isn’t what I want. I want ssl_bump

 to be completely disabled on my transparent proxy, I only wan to bump connections for connections that have explicitly set their proxy.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Any suggestions on how to overcome this, apart from running two copies of squid.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Thanks in advance<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Graham Wharton<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Courier New""><o:p> </o:p></span></p>

</div>

</body>

</html>