Olá,

> Vou dar um exemplo para você. Este grupo tem uns 8 ip's diferentes, e
> acontecem a mesma coisa, não é uma máquina particular, são várias e as
> mesmas não estão contaminadas.
> Aparece assim no sarg (exemplo de alguns usuários: fulano, ciclano e
> beltrano).
>
> http://fulano - NONE/- text/html 0 192.168.0.119 TCP_DENIED/407 1788 GET
> http://ciclano - NONE/- text/html 0 192.168.0.119 TCP_DENIED/407 1788 GET
> http://ciclano - NONE/- text/html 0 192.168.0.119 TCP_DENIED/407 1788 GET
> http://beltrano - NONE/- text/html 0 192.168.0.119 TCP_DENIED/407 1788 GET

Com relação ao que o sarg lista, sugiro que você verifique os logs do
squid, para ver o que ocorre. Seja como for, até onde sei
"TCP_DENIED/407" é uma solicitação de 'credenciais' para a aplicação
cliente (um browser, um aplicativo qualquer, um malware etc).

> É como se listasse os sites (que não são sites), e sim nomes de usuários do
> proxy, entendeu? E também acontece assim: http://www.6b6b101c.com,
> http://www.cb3e557b.com/, http://www.650b5c5b.com (letras e números
> aleatórios e estranhos).

Esses sites aleatórios e estranhos é que me fizeram pensar em algum
malware agindo na sua rede. Sugiro investigar essa possibilidade. Pelo
que escreveu, parece-me que há dois focos de atenção aqui: o primeiro
uma listagem do sarg que você acredita não fazer sentido e segundo uma
coleção de acessos para urls 'estranhas'.

Em ambos os casos, repito a sugestão, analise os logs do squid e
verifique as estações envolvidas nesses acessos 'estranhos'.

> Sobre a ordem das ACLS eu não entendi. O meu está assim:
>
> http_access allow site_desbloqueio ip_bloqueio
> http_access deny ip_bloqueio all
>
> #ok - pede senha para acessar SOMENTE PARA O GRUPO RESTO DA EMPRESA e
> bloqueia o naoporn#
> http_access allow naoporn all
> http_access deny simporn all
> http_access allow senha
>
> Eu quero que pede senha para todos os usuários, só que dessa forma, não pede
> senha para o grupo ip_bloqueio.

Se não existe nenhuma outra ACL na sua configuração, então, até onde
posso concluir, a ACL "http_access allow site_desbloqueio ip_bloqueio"
vai liberar, sem autenticação, tudo aquilo que for 'site_desbloqueio'
AND 'ip_bloqueio'.

Então, quando me refiro à ordem das ACLs, quero dizer exatamente isso,
ou seja, a lógica que usou para ordená-las.

Assim, se uma ACL liberar ou bloquear um acesso, as demais não serão avaliadas.

Sugestão: resolva um problema de cada vez. Isso facilita as coisas e
ajuda a manter o foco.

Obrigado.

Cássio

Responder a