<div dir="ltr"><div>Let me try one more time.</div><div><br></div><div><br>Here is my system configuration:<br><br>{HW-Box} --> Local Server{ (eth0[port 444]) -----+<br>                                                                             |<br>          +-----------------------------------------------------+ <br>          |<br>          |<br>          +-----> ([3129] Transparent Squid proxy) ---> (eth1[port443]) }--+<br>                                                                                                              |<br>                                     +------------------------------------------------------- ---+ <br>                                     |<br>                                     +->--{ INTERNET Server }</div><div><br></div><div>The setup and the problem:<br>   - The HW box tries to establish an HTTPS transparent connection with a server located within Internet.<br>   <br>   - It uses the Local Server and send its request via eth0 interface.<br>   <br>   - The request is Pre-routed from eth0, port 443, to the Transparent Squid proxy (v3.5.25), listening at port 3129.<br>   <br>   - For testing purposes, the Squid proxy is configured to pass only the HTTPS traffic transparently via the eth1 interface, using sing the `tcp_outgoing_address <ip_addr>` directive.  Please see the squid-ota.conf file content below.<br>   <br>   - While testing, I am monitoring the eth1 output via tcpdump and I get the following:<br>   <br>     # tcpdump -i eth1 port 443 -n -X -q -w tcp_dump_24<br>       tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes<br>       0 packets captured<br>       1 packet received by filter<br>       0 packets dropped by kernel<br>       3 packets dropped by interface<br>     <br>   - But nothing is detected!?<br>   <br>   - From the above it appears that there is no eth1 output at port 443?<br><br>I have included the printouts of the `iptables -nvL` and `iptables -nvL -t nat` commands.<br><br>Can someone tell me what I have done wrong here and perhaps suggest a solution?<br><br><br>Cheers,<br>Bud<br><br><br>=========================<br>Squid configuration file:<br><br># 1) Visible hostname<br>visible_hostname ctct-r2<br><br># 2) Initialize SSL database first<br>sslcrtd_program /usr/libexec/ssl_crtd -s /var/lib/ssl_db -M 4MB<br><br># 3) Listen to incoming HTTP traffic<br>http_port 3128<br><br># 4) Block all HTTP traffic<br>http_access deny all<br><br># 5) Listen for incoming HTTPS traffic and intercept it<br>https_port 3129 intercept ssl-bump cert=/etc/squid/ssl_cert/myCA.pem generate-host-certificates=on dynamic_cert_mem_cache_size=4MB<br><br># 6) Pass the SSL (HTTPS) traffic trasparently throught<br>ssl_bump splice all<br><br># Do not use caching<br># cache_dir ufs /var/volatile/log/squid/logs 100 16 256<br><br># 7) Send out all HTTPS traffic to destination server via given IP address<br>tcp_outgoing_address 10.3.19.92<br><br>===============================================<br># iptables -nvL<br><br>Chain INPUT (policy DROP 0 packets, 0 bytes)<br> pkts bytes target     prot opt in     out     source               destination         <br> 8827  680K ACCEPT     all  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            ctstate RELATED,ESTABLISHED<br>    7   438 ACCEPT     icmp --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            icmptype 8 ctstate NEW<br>    2   138 ACCEPT     all  --  lo     *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>           <br>    0     0 DROP       all  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            ctstate INVALID<br>1218K  299M APP_RULES  all  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            ctstate NEW<br>1218K  299M OS_RULES   all  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            ctstate NEW<br>  134 28053 REJECT     udp  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            reject-with icmp-port-unreachable<br>14014  841K REJECT     tcp  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            reject-with tcp-reset<br>    0     0 REJECT     all  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            reject-with icmp-proto-unreachable<br><br>Chain FORWARD (policy DROP 0 packets, 0 bytes)<br> pkts bytes target     prot opt in     out     source               destination         <br>    0     0 ACCEPT     all  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            ctstate RELATED,ESTABLISHED<br>    0     0 ACCEPT     all  --  wlan1  wlan1   <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>           <br>    9   559 REJECT     all  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            reject-with icmp-host-unreachable<br><br>Chain OUTPUT (policy ACCEPT 39073 packets, 2757K bytes)<br> pkts bytes target     prot opt in     out     source               destination         <br>  125 11932 ACCEPT     all  --  *      *       10.3.19.92           <a href="http://0.0.0.0/0">0.0.0.0/0</a>           <br><br>Chain APP_RULES (1 references)<br> pkts bytes target     prot opt in     out     source               destination         <br>    0     0 ACCEPT     tcp  --  eth1   *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            tcp dpt:20<br>    0     0 ACCEPT     tcp  --  eth1   *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            tcp dpt:21<br>    0     0 ACCEPT     tcp  --  eth1   *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            tcp dpt:80<br><br>Chain DEV_RULES (2 references)<br> pkts bytes target     prot opt in     out     source               destination         <br>    5   300 ACCEPT     tcp  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            tcp dpt:22<br>    0     0 ACCEPT     tcp  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            tcp dpt:1534<br>    0     0 ACCEPT     tcp  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            tcp dpt:2345<br>    0     0 ACCEPT     udp  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            udp dpt:1534<br>    0     0 ACCEPT     udp  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            udp dpt:2345<br><br>Chain EXTERNAL_RULES (2 references)<br> pkts bytes target     prot opt in     out     source               destination         <br>1190K  298M DROP       all  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>           <br><br>Chain INTERNAL_RULES (2 references)<br> pkts bytes target     prot opt in     out     source               destination         <br>13930  794K ACCEPT     udp  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            udp dpt:53<br>    8  2540 ACCEPT     udp  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            udp dpt:67<br>    1   328 ACCEPT     udp  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            udp dpt:68<br>    0     0 ACCEPT     tcp  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            tcp dpt:80<br><br>Chain OS_RULES (1 references)<br> pkts bytes target     prot opt in     out     source               destination         <br>28092 1666K DEV_RULES  all  --  eth0   *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>           <br>    0     0 DEV_RULES  all  --  wlan1  *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>           <br>28087 1666K INTERNAL_RULES  all  --  eth0   *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>           <br>    0     0 INTERNAL_RULES  all  --  wlan1  *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>           <br>1190K  298M EXTERNAL_RULES  all  --  eth1   *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>           <br>    0     0 EXTERNAL_RULES  all  --  wlan0  *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>           <br><br>=====================================================<br>iptables -nvL -t nat<br><br>Chain PREROUTING (policy ACCEPT 1234K packets, 306M bytes)<br> pkts bytes target     prot opt in     out     source               destination         <br>   96  5760 REDIRECT   tcp  --  eth0   *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            tcp dpt:443 redir ports 3129<br>13943  837K REDIRECT   tcp  --  eth0   *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>            tcp dpt:80 redir ports 3128<br><br>Chain INPUT (policy ACCEPT 13972 packets, 798K bytes)<br> pkts bytes target     prot opt in     out     source               destination         <br><br>Chain OUTPUT (policy ACCEPT 62 packets, 4650 bytes)<br> pkts bytes target     prot opt in     out     source               destination         <br><br>Chain POSTROUTING (policy ACCEPT 14103 packets, 566K bytes)<br> pkts bytes target     prot opt in     out     source               destination         <br>    0     0 MASQUERADE  all  --  *      eth1    <a href="http://192.168.168.0/24">192.168.168.0/24</a>     <a href="http://0.0.0.0/0">0.0.0.0/0</a>           <br>    0     0 MASQUERADE  all  --  *      eth1    <a href="http://192.168.192.0/24">192.168.192.0/24</a>     <a href="http://0.0.0.0/0">0.0.0.0/0</a>           <br>    0     0 MASQUERADE  all  --  *      wlan0   <a href="http://192.168.168.0/24">192.168.168.0/24</a>     <a href="http://0.0.0.0/0">0.0.0.0/0</a>           <br>    0     0 MASQUERADE  all  --  *      wlan0   <a href="http://192.168.192.0/24">192.168.192.0/24</a>     <a href="http://0.0.0.0/0">0.0.0.0/0</a>           <br>==================================================<br></div><div><br><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Budimir Miljković BSc E | He<br>Senior Development Engineer<br>Civil Construction Field Systems<br>Trimble<br> <br>11-17 Birmingham Drive, Christchurch, Canterbury, 8024<br>New Zealand<br>+64 3 963-5550 Direct<br>+64 21 419-024 Mobile<br><br><a href="http://www.trimble.com" target="_blank">www.trimble.com</a><br><br>This email may contain confidential information that is intended only for the listed recipient(s) of this email. Any unauthorized review, use, disclosure or distribution is prohibited. If you believe you have received this email in error, please immediately delete this email and any attachments, and inform me via reply email.</div></div></div></div>