<div dir="ltr"><div><br></div><div>I have now made some changes based on suggestions from the community and would like a second look from the more experienced people.</div><div></div><div>Here is my squid configuration file:<br>----------------<br></div><div><span style="font-family:monospace"><font size="2">visible_hostname ctct-r2<br># 2) Initialize SSL database first<br>sslcrtd_program /usr/libexec/ssl_crtd -s /var/lib/ssl_db -M 4MB<br># 3) An ACL named 'whitelist'<br>acl whitelist dstdomain '/etc/squid/whitelist.ota'<br># 4) Allow whitelisted URLs through<br>http_access allow whitelist<br># 5) Listen to incoming HTTP traffic<br>http_port 3128<br># 6) Block the rest<br>http_access deny all<br># 7) Listen for incoming HTTPS traffic and intercept it<br>https_port 3129 intercept ssl-bump cert=/etc/squid/ssl_cert/myCA.pem generate-host-certificates=on dynamic_cert_mem_cache_size=4MB<br># 8) Pass the SSL (HTTPS) traffic transparently through<br>ssl_bump splice all<br># 9) Send out all HTTPS traffic to destination server via given IP address<br>tcp_outgoing_address 10.3.19.150</font></span><br></div><div>-------------------</div><div><span class="gmail_signature_prefix">And here are the iptables' settings:</span></div><div><span class="gmail_signature_prefix">NAT table:<br></span></div><div># iptables -nvL -t nat   <br>Chain PREROUTING (policy ACCEPT 9094 packets, 1823K bytes)<br> pkts bytes target     prot opt in     out     source               destination         <br>    0     0 ACCEPT     tcp  --  *      *       10.3.19.150          <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            tcp dpt:80<br>    0     0 ACCEPT     tcp  --  *      *       10.3.19.150          <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            tcp dpt:443<br>    0     0 REDIRECT   tcp  --  eth0   *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            tcp dpt:443 redir ports 3129<br>    0     0 REDIRECT   tcp  --  eth0   *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            tcp dpt:80 redir ports 3128<br><br>Chain INPUT (policy ACCEPT 1 packets, 70 bytes)<br> pkts bytes target     prot opt in     out     source               destination         <br></div><div><br></div><div>Chain OUTPUT (policy ACCEPT 9 packets, 627 bytes)<br> pkts bytes target     prot opt in     out     source               destination         <br><br>Chain POSTROUTING (policy ACCEPT 9 packets, 627 bytes)<br> pkts bytes target     prot opt in     out     source               destination         <br>    0     0 MASQUERADE  all  --  *      eth1    <a href="http://192.168.168.0/24" target="_blank">192.168.168.0/24</a>     <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>           <br>    0     0 MASQUERADE  all  --  *      eth1    <a href="http://192.168.192.0/24" target="_blank">192.168.192.0/24</a>     <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>           <br>    0     0 MASQUERADE  all  --  *      wlan0   <a href="http://192.168.168.0/24" target="_blank">192.168.168.0/24</a>     <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>           <br>    0     0 MASQUERADE  all  --  *      wlan0   <a href="http://192.168.192.0/24" target="_blank">192.168.192.0/24</a>     <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>           <br></div><div><span class="gmail_signature_prefix">------------------------------</span></div><div><span class="gmail_signature_prefix">Mangle table:<br></span># iptables -nvL -t mangle<br>Chain PREROUTING (policy ACCEPT 12117 packets, 2382K bytes)<br> pkts bytes target     prot opt in     out     source               destination         <br>   16   960 DROP       tcp  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            tcp dpt:443<br><br>Chain INPUT (policy ACCEPT 11861 packets, 2319K bytes)<br> pkts bytes target     prot opt in     out     source               destination         <br><br>Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)<br> pkts bytes target     prot opt in     out     source               destination         <br><br>Chain OUTPUT (policy ACCEPT 451 packets, 47694 bytes)<br> pkts bytes target     prot opt in     out     source               destination         <br><br>Chain POSTROUTING (policy ACCEPT 451 packets, 47694 bytes)<br> pkts bytes target     prot opt in     out     source               destination      <br></div><div>-----------------------------</div><div>Routing table:</div><div># iptables -nvL          <br>Chain INPUT (policy DROP 0 packets, 0 bytes)<br> pkts bytes target     prot opt in     out     source               destination         <br> 3843  304K ACCEPT     all  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            ctstate RELATED,ESTABLISHED<br>    1    59 ACCEPT     icmp --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            icmptype 8 ctstate NEW<br>   33  2285 ACCEPT     all  --  lo     *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>           <br>    0     0 DROP       all  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            ctstate INVALID<br>91160   17M APP_RULES  all  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            ctstate NEW<br>91160   17M OS_RULES   all  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            ctstate NEW<br>   15  3195 REJECT     udp  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            reject-with icmp-port-unreachable<br>   75  4508 REJECT     tcp  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            reject-with tcp-reset<br>    0     0 REJECT     all  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            reject-with icmp-proto-unreachable<br><br>Chain FORWARD (policy DROP 0 packets, 0 bytes)<br> pkts bytes target     prot opt in     out     source               destination         <br>    0     0 ACCEPT     all  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            ctstate RELATED,ESTABLISHED<br>    0     0 ACCEPT     all  --  wlan1  wlan1   <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>           <br>    7   739 REJECT     all  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            reject-with icmp-host-unreachable<br><br>Chain OUTPUT (policy ACCEPT 523 packets, 54506 bytes)<br> pkts bytes target     prot opt in     out     source               destination         <br>    0     0 ACCEPT     tcp  --  *      eth1    10.3.19.150          <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>       <<<--------------    <br><br>Chain APP_RULES (1 references)<br> pkts bytes target     prot opt in     out     source               destination         <br>    0     0 ACCEPT     tcp  --  eth1   *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            tcp dpt:20<br>    0     0 ACCEPT     tcp  --  eth1   *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            tcp dpt:21<br>    0     0 ACCEPT     tcp  --  eth1   *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            tcp dpt:80<br><br>Chain DEV_RULES (2 references)<br> pkts bytes target     prot opt in     out     source               destination         <br>    6   360 ACCEPT     tcp  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            tcp dpt:22<br>    0     0 ACCEPT     tcp  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            tcp dpt:1534<br>    0     0 ACCEPT     tcp  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            tcp dpt:2345<br>    0     0 ACCEPT     udp  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            udp dpt:1534<br>    0     0 ACCEPT     udp  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            udp dpt:2345<br><br>Chain EXTERNAL_RULES (2 references)<br> pkts bytes target     prot opt in     out     source               destination         <br>90961   17M DROP       all  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>           <br><br>Chain INTERNAL_RULES (2 references)<br> pkts bytes target     prot opt in     out     source               destination         <br>   95  5676 ACCEPT     udp  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            udp dpt:53<br>    5  1592 ACCEPT     udp  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            udp dpt:67<br>    1   328 ACCEPT     udp  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            udp dpt:68<br>    2   120 ACCEPT     tcp  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            tcp dpt:80<br><br>Chain OS_RULES (1 references)<br> pkts bytes target     prot opt in     out     source               destination         <br>  199 15779 DEV_RULES  all  --  eth0   *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>           <br>    0     0 DEV_RULES  all  --  wlan1  *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>           <br>  193 15419 INTERNAL_RULES  all  --  eth0   *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>           <br>    0     0 INTERNAL_RULES  all  --  wlan1  *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>           <br>90961   17M EXTERNAL_RULES  all  --  eth1   *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>           <br>    0     0 EXTERNAL_RULES  all  --  wlan0  *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>           <br></div><div>------------------------------------------------</div><div><br></div><div>I am now getting something related to my testing expectation but there problems</div><div>like following:</div><div>```<br>15:05:58.464105 IP (tos 0x0, ttl 64, id 33640, offset 0, flags [DF], proto UDP (17), length 70)<br>    10.3.19.150.55834 > 10.3.30.20.domain: [udp sum ok] 31312+ A? <a href="http://api.globalota.limios.net" target="_blank">api.globalota.limios.net</a>. (42)<br>....</div><div>15:05:58.810877 IP (tos 0xc0, ttl 64, id 32951, offset 0, flags [none], proto ICMP (1), length 209)<br>    10.3.19.150 > <a href="http://10.3.0.124" target="_blank">10.3.0.124</a>: ICMP 10.3.19.150 udp port 55834 unreachable, length 189</div><div>------------------------------------- Any hint would be appreciated --------------------</div><div>Also, there is a configuration in the chain OUTPUT policy marked with the "<<<-------------" string above,</div><div>which I am not sure about.</div><div><br></div><div></div><div>Cheers,</div><div>Buda</div><br clear="all"><br><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"> <br>11-17 Birmingham Drive, Christchurch, Canterbury, 8024<br>New Zealand<br>+64 3 963-5550 Direct<br>+64 21 419-024 Mobile<br><br><a href="http://www.trimble.com" target="_blank">www.trimble.com</a><br><br>This email may contain confidential information that is intended only for the listed recipient(s) of this email. Any unauthorized review, use, disclosure or distribution is prohibited. If you believe you have received this email in error, please immediately delete this email and any attachments, and inform me via reply email.</div></div></div>