Olá, > Vou dar um exemplo para você. Este grupo tem uns 8 ip's diferentes, e > acontecem a mesma coisa, não é uma máquina particular, são várias e as > mesmas não estão contaminadas. > Aparece assim no sarg (exemplo de alguns usuários: fulano, ciclano e > beltrano). > > http://fulano - NONE/- text/html 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://ciclano - NONE/- text/html 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://ciclano - NONE/- text/html 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://beltrano - NONE/- text/html 0 192.168.0.119 TCP_DENIED/407 1788 GET
Com relação ao que o sarg lista, sugiro que você verifique os logs do squid, para ver o que ocorre. Seja como for, até onde sei "TCP_DENIED/407" é uma solicitação de 'credenciais' para a aplicação cliente (um browser, um aplicativo qualquer, um malware etc). > É como se listasse os sites (que não são sites), e sim nomes de usuários do > proxy, entendeu? E também acontece assim: http://www.6b6b101c.com, > http://www.cb3e557b.com/, http://www.650b5c5b.com (letras e números > aleatórios e estranhos). Esses sites aleatórios e estranhos é que me fizeram pensar em algum malware agindo na sua rede. Sugiro investigar essa possibilidade. Pelo que escreveu, parece-me que há dois focos de atenção aqui: o primeiro uma listagem do sarg que você acredita não fazer sentido e segundo uma coleção de acessos para urls 'estranhas'. Em ambos os casos, repito a sugestão, analise os logs do squid e verifique as estações envolvidas nesses acessos 'estranhos'. > Sobre a ordem das ACLS eu não entendi. O meu está assim: > > http_access allow site_desbloqueio ip_bloqueio > http_access deny ip_bloqueio all > > #ok - pede senha para acessar SOMENTE PARA O GRUPO RESTO DA EMPRESA e > bloqueia o naoporn# > http_access allow naoporn all > http_access deny simporn all > http_access allow senha > > Eu quero que pede senha para todos os usuários, só que dessa forma, não pede > senha para o grupo ip_bloqueio. Se não existe nenhuma outra ACL na sua configuração, então, até onde posso concluir, a ACL "http_access allow site_desbloqueio ip_bloqueio" vai liberar, sem autenticação, tudo aquilo que for 'site_desbloqueio' AND 'ip_bloqueio'. Então, quando me refiro à ordem das ACLs, quero dizer exatamente isso, ou seja, a lógica que usou para ordená-las. Assim, se uma ACL liberar ou bloquear um acesso, as demais não serão avaliadas. Sugestão: resolva um problema de cada vez. Isso facilita as coisas e ajuda a manter o foco. Obrigado. Cássio
