log do squid registrando ip da rede interna ao invés de url

gbarcelos
(usa Debian)

Enviado em 01/07/2010 - 18:55h

Pessoal estou com um problema. O meu access.log está ficando cheio muito rápido pois está registrando nas requisições o numero ip ou nome de computador da minha rede interna ao invés de urls de sites.
Abaixo onde está "dpessoal" e "192.168.0.106" se tratam de computadores da minha rede local.

192.168.0.149 - - [01/Jul/2010:18:51:35 -0300] "OPTIONS http://dpessoal/ HTTP/1.0" 407 1895 TCP_DENIED:NONE

192.168.0.158 - - [01/Jul/2010:18:52:21 -0300] "OPTIONS http://192.168.0.106/ HTTP/1.0" 407 1910 TCP_DENIED:NONE

Essas linhas ficam repetidas e com isso enchem o log.
Já procurei algo sobre esse problema mais não achei.
Acho que existe alguma configuração errada no meu squid.
Sou novato no linux e espero que me ajudem.

Gustavo.

renato_pacheco
(usa Debian)

Enviado em 01/07/2010 - 20:13h

Kra, o pessoal tá acessando esse endereço tudo pela porta 80 (http) então o squid realmente faz log disso. Essa máquina tem algum servidor web?

gbarcelos
(usa Debian)

Enviado em 01/07/2010 - 20:31h

eu instalei o apache2 para tentar rodar o lance de os usuarios conseguirem trocar suas senhas da internet pelo proprio computador através do chpasswd.cgi . Acho que de lá pra cá o log começou a encher muito rápido e notei essas requisiçoes estranhas no log. Será que o apache2 está conflitando com o squid?

renato_pacheco
(usa Debian)

Enviado em 01/07/2010 - 20:57h

Sabe o q vc pode fazer? No squid tem um parâmetro q faz exceções d log em um determinado endereço. O parâmetro é o access_log. Vc cria uma acl com esse link:

acl teste_apache url_regex dpessoal

E depois cria um access_log pra não fazer log dessa acl:

access_log none teste_apache

gbarcelos
(usa Debian)

Enviado em 01/07/2010 - 21:32h

entendi sua colocaçao.
mais na verdade esse nome "dpessoal" muda. tem hora q vem o ip de um computador na rede, tem hora que aparece o nome de outro computador na rede. Se fosse só esse nome de computador que aparecesse essa sua colocaçao seria ideal. Preciso é resolver esse problema mesmo. Eu não saco nada de iptables. Será que tem que colocar alguma coisa lá? No momento meu iptables está vazio.

renato_pacheco
(usa Debian)

Enviado em 01/07/2010 - 21:36h

Kra, eu não entendi muito como é essa parada. C tá querendo dizer q a máquina possui vários nomes? Muito complicado isso. A não ser q vc mencione todos eles pra q não apareça nos logs, da forma q t passei.

gbarcelos
(usa Debian)

Enviado em 01/07/2010 - 21:40h

de acordo com o exemplo do log que coloquei lá em cima, me parece que o computador do usuário tenta acessar um site sozinho só que no access.log ao invés de aparecer a url do site, aparece o http://dpessoal/. Esse dpessoal é o nome de um computador que tenho na rede. O correto é não aparecer essa linha no log. É como se um computador quizesse invadir um outro pela internet e o squid ta registrando isso.

gbarcelos
(usa Debian)

Enviado em 01/07/2010 - 21:41h

outro exemplo que peguei aqui agora no arquivo de log:

192.168.0.210 - - [01/Jul/2010:21:28:21 -0300] "OPTIONS http://192.168.0.229/ HTTP/1.0" 407 1795 TCP_DENIED:NONE
192.168.0.210 - - [01/Jul/2010:21:28:21 -0300] "OPTIONS http://192.168.0.229/ HTTP/1.0" 407 1795 TCP_DENIED:NONE
192.168.0.210 - - [01/Jul/2010:21:28:21 -0300] "OPTIONS http://192.168.0.229/ HTTP/1.0" 407 1795 TCP_DENIED:NONE
192.168.0.210 - - [01/Jul/2010:21:28:21 -0300] "OPTIONS http://192.168.0.229/ HTTP/1.0" 407 1795 TCP_DENIED:NONE

renato_pacheco
(usa Debian)

Enviado em 01/07/2010 - 21:43h

Então instale o ntop no servidor, deixe todas as máquinas ligadas após o expediente e analise. Vc vai descobrir q máquinas estão fazendo essas requisições e tente avaliá-las.