Не работает проход http трафика через squid

[sergicus]

здравствуйте, вот в чем проблема

freebsd 11.2

я хочу настроить проброс ( для снятия статистики) https трафика через сквид


Настроил. Сначала настроил проброс http трафика, все работало нормально

Но когда я настроил проброс https - то https стал работать нормально а http трафик перестал ходить и в сообщении об ошибках все время выходит
"Доступ запрещён. Система контроля доступа не позволяет выполнить ваш запрос сейчас."

Вот ошибка в логах сквида

1540898312.895 4 172.16.20.38 TCP_MISS/403 4440 GET http://start.palemoon.org/ - ORIGINAL_DST/82.199.155.60 text/html.
1540898312.952 3 172.16.20.38 TCP_MISS/403 4567 GET http://start.palemoon.org/squid-interna ... ons/SN.png - ORIGINAL_DST/82.199.155.60 text/html

Вот
/usr/local/etc/squid/squid.conf

acl localnet src 192.168.5.0/24

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

visible_hostname = squid-test.local

dns_nameservers 192.168.93.61 192.168.93.3

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet
http_access allow localhost
http_access deny all

http_port 3128 intercept
http_port 3130
https_port 3129 intercept ssl-bump options=ALL connection-auth=off cert=/usr/local/etc/squid/squidCA.pem

always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

ssl_bump peek all
ssl_bump splice all

##logs
acl https_port port 443
logformat https %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ssl::>sni %[un %Sh/%<a %mt
cache_access_log /var/log/squid/access.log https https_port
acl http_port port 80
logformat http %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt.
cache_access_log /var/log/squid/access.log http http_port

coredump_dir /var/squid/cache

cache_effective_user squid
cache_effective_group squid

logfile_rotate 10

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

global_internal_static off

вот конфигурация pf

wan="wanSquid"
lan="lanSquid"
squid="127.0.0.1"
local_lan="{ 192.168.5.0/24 }"

rdr pass inet proto tcp from $local_lan to any port www -> $squid port 3128
rdr pass inet proto tcp from $local_lan to any port 443 -> $squid port 3129

pass in quick on lo0
pass in quick on $lan
pass in quick on $wan

pass out keep state

И я не понимаю в чем дело, ведь acl у меня простые, ничего не запрещают. Когда через сквид прохдил только http трафик все работало.
Я добавил строки для https и перестало работать

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

какие именно строки добавили?