
<div dir="ltr"><div dir="ltr"><br></div>I was thinking something more simple like the first scenario.<div>[HTTP?CLIENT] -->[STUNNEL CLIENT]--><whatever>-->[STUNNEL SERVER]-->[HTTP Server]<br></div><div><br></div><div>But the end would be an HTTPS server, which would require a CONNECT to get things going.</div><div>So:</div><div>[HTTP Client] -->[STUNNEL CLIENT]--> <whatever>-->[STUNNEL SERVER]-->[REVERSE-PROXY server]--> [HTTPS SERVER]</div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Em ter, 9 de jul de 2019 às 07:00, <<a href="mailto:stunnel-users-request@stunnel.org">stunnel-users-request@stunnel.org</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Send stunnel-users mailing list submissions to<br>

        <a href="mailto:stunnel-users@stunnel.org" target="_blank">stunnel-users@stunnel.org</a><br>

<br>

To subscribe or unsubscribe via the World Wide Web, visit<br>

        <a href="https://www.stunnel.org/cgi-bin/mailman/listinfo/stunnel-users" rel="noreferrer" target="_blank">https://www.stunnel.org/cgi-bin/mailman/listinfo/stunnel-users</a><br>

or, via email, send a message with subject or body 'help' to<br>

        <a href="mailto:stunnel-users-request@stunnel.org" target="_blank">stunnel-users-request@stunnel.org</a><br>

<br>

You can reach the person managing the list at<br>

        <a href="mailto:stunnel-users-owner@stunnel.org" target="_blank">stunnel-users-owner@stunnel.org</a><br>

<br>

When replying, please edit your Subject line so it is more specific<br>

than "Re: Contents of stunnel-users digest..."<br>

<br>

<br>

Today's Topics:<br>

<br>

   1. Academic doubt about firewall bypass (Brent Kimberley)<br>

   2. How to turn off logging (David Yunker)<br>

   3. Re: How to turn off logging (Thomas Eifert)<br>

<br>

<br>

----------------------------------------------------------------------<br>

<br>

Message: 1<br>

Date: Mon, 8 Jul 2019 16:42:39 +0000 (UTC)<br>

From: Brent Kimberley <<a href="mailto:brent_kimberley@rogers.com" target="_blank">brent_kimberley@rogers.com</a>><br>

To: <<a href="mailto:stunnel-users@stunnel.org" target="_blank">stunnel-users@stunnel.org</a>><br>

Cc: "<a href="mailto:hugo.marello@gmail.com" target="_blank">hugo.marello@gmail.com</a>" <<a href="mailto:hugo.marello@gmail.com" target="_blank">hugo.marello@gmail.com</a>><br>

Subject: [stunnel-users] Academic doubt about firewall bypass<br>

Message-ID: <<a href="mailto:182803560.2815516.1562604159801@mail.yahoo.com" target="_blank">182803560.2815516.1562604159801@mail.yahoo.com</a>><br>

Content-Type: text/plain; charset="utf-8"<br>

<br>

 Which scenario did you have in mind?<br>

[HTTP?CLIENT] -->[STUNNEL CLIENT]--><whatever>-->[STUNNEL SERVER]-->[HTTP Server]?OR[HTTP Client] -->[Forward-proxy client]->?[STUNNEL CLIENT]--> <whatever>-->[STUNNEL SERVER]-->[REVERSE-PROXY server]--><whatever>--> [HTTP SERVER ]<br>

<br>

<br>

<br>

From: Hugo Marello <<a href="mailto:hugo.marello@gmail.com" target="_blank">hugo.marello@gmail.com</a>><br>

To: <a href="mailto:stunnel-users@stunnel.org" target="_blank">stunnel-users@stunnel.org</a><br>

<br>

Hello guys,<br>

I'm new to using stunnel but I find it quite a powerful tool. I'm doing a<br>

POC on how we can bypass our firewall even with DPI, and chose to use<br>

stunnel for an extra layer of cryptography. You don't have to worry about<br>

access to any VM mentioned here. Here is my scenario:<br>

<br>

[CLIENT BROWSER] -->[STUNNEL CLIENT]-->[FIREWALL]-->[STUNNEL<br>

SERVER]-->[REVERSE PROXY]-->[FREE INTERNET]<br>

<br>

So far I succeeded in getting HTTP working using stunnel CONNECT protocol<br>

to the firewall and going all the way through. The problem is when I try to<br>

access HTTPS, the connection get set to the stunnel server but it keeps<br>

waiting for something. Double checked all the logs, firewall can't discern,<br>

stunnel server get the connection, reverse proxy also get the socket<br>

connection. My hypothesis is that stunnel client gets the CONNECT from the<br>

browser and discard it, it uses its own way to connect to the firewall,<br>

instead of encrypting the CONNECT all the way through. As it may seems, I<br>

need a way to send 2 CONNECT packages. Does anyone know how can I proceed?<br>

<br>

Follow my configs:<br>

client = yes<br>

output = /var/log/stunnel4/stunnel.log<br>

debug = 7<br>

<br>

[bypassclient]<br>

accept = 4000<br>

connect = firewall.example:3128<br>

protocolHost = <a href="http://destination.com:443" rel="noreferrer" target="_blank">destination.com:443</a><br>

protocol = connect<br>

requireCert = no<br>

verifyChain = no<br>

verifyPeer = no<br>

--------------------------------------------------------------------------------------------------------------------<br>

[bypassserver]<br>

accept = <a href="http://0.0.0.0:443" rel="noreferrer" target="_blank">0.0.0.0:443</a><br>

connect = <a href="http://reverseproxy.com:8888" rel="noreferrer" target="_blank">reverseproxy.com:8888</a><br>

cert = /etc/ssl/cert.pem<br>

key = /etc/ssl/key.pem<br>

-----------------------------------------------------------------------------------------------------------------------<br>

<br>

<br>

Thank you all in advance, already digging throw the source code (quite lost<br>

tough),<br>

Hugo  <br>

-------------- next part --------------<br>

An HTML attachment was scrubbed...<br>

URL: <<a href="http://www.stunnel.org/pipermail/stunnel-users/attachments/20190708/ab52609e/attachment-0001.htm" rel="noreferrer" target="_blank">http://www.stunnel.org/pipermail/stunnel-users/attachments/20190708/ab52609e/attachment-0001.htm</a>><br>

<br>

------------------------------<br>

<br>

Message: 2<br>

Date: Mon, 8 Jul 2019 21:46:56 +0000<br>

From: David Yunker <<a href="mailto:davidyunker@hotmail.com" target="_blank">davidyunker@hotmail.com</a>><br>

To: "<a href="mailto:stunnel-users@stunnel.org" target="_blank">stunnel-users@stunnel.org</a>" <<a href="mailto:stunnel-users@stunnel.org" target="_blank">stunnel-users@stunnel.org</a>><br>

Subject: [stunnel-users] How to turn off logging<br>

Message-ID:<br>

        <<a href="mailto:MN2PR17MB27350CC77D41064964CC6B34AFF60@MN2PR17MB2735.namprd17.prod.outlook.com" target="_blank">MN2PR17MB27350CC77D41064964CC6B34AFF60@MN2PR17MB2735.namprd17.prod.outlook.com</a>><br>

<br>

Content-Type: text/plain; charset="iso-8859-1"<br>

<br>

To whom it may concern,<br>

I would like to know if there is a way to disable logging or set a size limit or to have it overwrite the log file each time a new log is started?<br>

I am using the Windows version of Stunnel.<br>

<br>

Thank you for your help.<br>

<br>

<br>

-------------- next part --------------<br>

An HTML attachment was scrubbed...<br>

URL: <<a href="http://www.stunnel.org/pipermail/stunnel-users/attachments/20190708/8a2cdcbe/attachment-0001.htm" rel="noreferrer" target="_blank">http://www.stunnel.org/pipermail/stunnel-users/attachments/20190708/8a2cdcbe/attachment-0001.htm</a>><br>

<br>

------------------------------<br>

<br>

Message: 3<br>

Date: Mon, 8 Jul 2019 17:41:37 -0500<br>

From: Thomas Eifert <<a href="mailto:kxkvi@wi.rr.com" target="_blank">kxkvi@wi.rr.com</a>><br>

To: <a href="mailto:stunnel-users@stunnel.org" target="_blank">stunnel-users@stunnel.org</a><br>

Subject: Re: [stunnel-users] How to turn off logging<br>

Message-ID: <<a href="mailto:652154f1-6422-d92f-dff3-f4adcf3aceda@wi.rr.com" target="_blank">652154f1-6422-d92f-dff3-f4adcf3aceda@wi.rr.com</a>><br>

Content-Type: text/plain; charset="windows-1252"; Format="flowed"<br>

<br>

You most likely have a statement in the global configuration section of <br>

your stunnel.conf such as "output = stunnel.log".<br>

<br>

Removing that statement should terminate logging.? If you would rather <br>

retain logging but wish the previous log to be<br>

<br>

overwritten, add the statement "log = overwrite" to the global <br>

configuration section. (without the quotes)<br>

<br>

<br>

Thomas<br>

<br>

<br>

On 7/8/2019 4:46 PM, David Yunker wrote:<br>

> To whom it may concern,<br>

> I would like to know if there is a way to disable logging or set a <br>

> size limit or to have it overwrite the log file each time a new log is <br>

> started?<br>

> I am using the Windows version of Stunnel.<br>

><br>

> Thank you for your help.<br>

><br>

><br>

><br>

> _______________________________________________<br>

> stunnel-users mailing list<br>

> <a href="mailto:stunnel-users@stunnel.org" target="_blank">stunnel-users@stunnel.org</a><br>

> <a href="https://www.stunnel.org/cgi-bin/mailman/listinfo/stunnel-users" rel="noreferrer" target="_blank">https://www.stunnel.org/cgi-bin/mailman/listinfo/stunnel-users</a><br>

<br>

-- <br>

Attention: This message and all attachments are private and may contain information that is confidential and privileged. If you received this message in error, please notify the sender by reply email and delete the message immediately.<br>

<br>

-------------- next part --------------<br>

An HTML attachment was scrubbed...<br>

URL: <<a href="http://www.stunnel.org/pipermail/stunnel-users/attachments/20190708/3740921b/attachment-0001.htm" rel="noreferrer" target="_blank">http://www.stunnel.org/pipermail/stunnel-users/attachments/20190708/3740921b/attachment-0001.htm</a>><br>

<br>

------------------------------<br>

<br>

Subject: Digest Footer<br>

<br>

_______________________________________________<br>

stunnel-users mailing list<br>

<a href="mailto:stunnel-users@stunnel.org" target="_blank">stunnel-users@stunnel.org</a><br>

<a href="https://www.stunnel.org/cgi-bin/mailman/listinfo/stunnel-users" rel="noreferrer" target="_blank">https://www.stunnel.org/cgi-bin/mailman/listinfo/stunnel-users</a><br>

<br>

<br>

------------------------------<br>

<br>

End of stunnel-users Digest, Vol 180, Issue 1<br>

*********************************************<br>

</blockquote></div></div></div>