SSL通信は透過するけれども、http通信は透過しないという不思議状況に悩まされる FATAL: mimeLoadIcon: cannot parse internal URL:

CENTOS8で、透過SSLプロキシを建てようとしたはいいものの、諸々はまって、最後に原因が分からないけれども
何とかなったという、誰か真面目に説明して欲しい位の何かにはまったので書いておく。

はまりポイント1

nftablesの意味が分からなかった。
8からnftablesに変わるから覚えなきゃ、で始めたのだけれども、
iptablesのノリで出来る物だと思っていたら、何か御作法が全然違う。iptablesをnftablesの設定に変換できるので、
変換してみたのだけれども、同じ文法で書いてみても適用時にエラーが出る。
なので、3日間位がっつり調べたり試したりしたが、nftablesは未だ早いという結論に至った。
nftablesは書籍は勿論、ウェブページでも扱っているところが少なすぎて、何をどうすればこうなるが全く頭に入らなかった。
結局nftablesを覚えなくても、iptablesがそのまま使える（内部的にはnftablesに変わっている）ので、iptablesで進めることにした。

はまりポイント2

firewalldを無効にしなかった。
どうせ中身はnftablesなのだから、と思っていたら、思いっきり相互干渉してしまっていた。
全く用を為さないわけでは無く、部分的に効いたりするからタチが悪い。
しかもエラーメッセージはないので、原因解明に1日潰した。
firewalldだけ潰して再起動をかける。（似たあるあるで、selinuxの無効有効を忘れるとか）。

はまりポイント3

squidのhttp_portを2つ入れなければならなかった。
これが謎の大元。何回やっても、https（SSL)は通っているが、httpが兎に角通らなかった。
squid.confの設定で、http_portを指定するところがあるのだけれども、

http_port 3128 intercept

のように、intercept（透過指定）すると、
squid自体は立ち上がっているように見えるが、実際はエラーで起動しておらず、

systemctl status squid

でエラーを見ると、
FATAL: mimeLoadIcon: cannot parse internal URL:～というエラーがでて、ずっと悩んでいた。
これの答えは、
https://tutorialmore.com/questions-290758.htm
のように、

http_port 3127
http_port 3128 intercept

と、２つ指定しなければならないと言うことだった。
・・・これ、何故指定しなければならないのか、指定したらどういう風に通信処理されるのかさっぱり分からないんだよね・・・。
iptablesでは、3127ポートに関しては一切触れていないので、内部処理なんだろうけど・・・。
※3127とか3128とかのポートは任意なので一応注釈。
squid3だと、ポートを2つ指定したことが無かったので、新しい御作法なんだろうけれども・・・。

切り分け別個の話として、intercept指定しなければ、ブラウザにプロキシを噛ませる必要があるので、
もし噛ませなかったら

    不正なURL

指定されたURLに正しくない部分があります。

考えられる問題:

    ("http://"または同類の)アクセス・プロトコルが抜けているか不正です。

    ホスト名がありません。

    不正な二重のエスケープがURLパスに含まれています。

    ホスト名に不正な文字が含まれています: アンダースコア(下線)は使えません。

というエラーがsquidから出る。
英語だとinvalid urlか。

ec-orangeの対応が酷い（まさかのオレオレ証明書）

知り合いから相談されたので見てみたら、笑えるほどやばい。
ec-orangeというPOSシステム系の製品群があるのだけれども、最近管理画面が変わってセキュリティ警告が出るようになったらしい。
で、なんとかならないかと言われてみたのだけども、なんとびっくり、使っているのが
まさかのオレオレ証明書。
POSでオレオレ証明書って、なりすましを許容しろってことなんですかねえ。
https://pri001.orange-tablet.jp/admin/
default company ltdって・・・本気でテスト環境のまま引っ張ってきたんじゃないの？

 ecorange側の担当は、証明書を変えろといったらのらりくらりとかわして相手にならないらしい。
なので、そんな会社と付き合うのはやめて、さっさと別口に移行しろと言っておいた。
年間費用を嫌うなら、今時letsencryptもあるし、大体高額な料金をせしめているのだからその位出せよとも言いたい。

危険性については
https://qiita.com/Sheile/items/dc91128e8918fc823562
でも読んで下さい。

お金扱ってるのにその意識の低さだと、ねえ・・・。

追記

追記

 久しぶりにhttps://pri001.orange-tablet.jp/にアクセスすると、アクセス出来なくなっていた。まあ、この番号部分を変えると別の契約企業のサーバになっていくので変えていくと、そもそも20番から先は契約者自体がおらず、恐らく今の契約者全体で10企業程度ではないだろうか。ということは、エスキュービズムからフォーバルが買ったはいいものの、大きく出来ずにビジネス終了といったところか。だからssl対応なんかしないという。企業としてどうなのよそれ・・・。オレンジタブレット（orangetablet)とか名称を変えてるけど、今契約するのは悪手かな・・・。

勝手に電源が入りっぱなしになってしまう（HDMI端子で漏電（リーク）した話）

始めは全く意味が分からなかった。
先日まで普通に動いていたPCを立ち上げたところ、うんともすんとも言わないのである。
いやむしろうんうんうなりを上げてファンを回してくれるのだけれども、モニタには何も映らないのだ。
しかも、電源ボタン長押しでシャットダウンしてもすぐに立ち上がり直すし、電源を落とすには、電源ボックスのマスター電源を落とすしかない。
一番の疑念点は、マスター電源を落とした後でも、電源スイッチのledは皓々と光ったままなのである。

やったことは、電源をコンセントに挿したのと、PCとモニタを繋いだだけなのに、何故こんな仕打ちを受けねばならないのだろう。
スイッチ配線を抜き差ししたり、CMOSクリアしたりと、色々やってみたが、biosさえ立ち上がらないので完全にお手上げである。
全く納得できないが、これでお仕舞いか、と、HDMIケーブルを抜いたところ、あれだけ光り続けた電源ledの光が消えたではないか。
まさかと思いながらHDMIケーブルを挿すと、電源ledが光るのである。
・・・HDMI端子からPCに対して、リーク電流でも流れているようである・・・。

詳しく調べはしなかったのだけれども、恐らくモニタ側からHDMI端子宛てに電気がリークして、マスター電源を落とした後でも電源ledが光りっぱなしになっていたのだろう。
電源ledと電源スイッチが同じ（電源スイッチが光るタイプ）だったので、配線も見ていないが、通電＝スイッチも通電みたいなことになっていたに違いない。
まさかHDMI端子でそんな目に遭うとは思っていなかったので、一応書いておく。