Relatorios SARG Ripe.net

[righteous]

Estou usando o SARG com Webmim para ver os relatórios do Squid, porém alguns hosts aparecem com o endereço: tconsole.k.ripe.net, gw.k-testbed.nikrtr.ripe.net, bcast.sup.ams-ix.k.ripe.net   , dentre outros. Alguém sabe dizer o porque disso? Vejo todos os acessos mas não consigo identificar o IP desse hosts, no próprio access.log também vejo o que foi acessado mais não identifico o IP.

[zekkerj]

RIPE-NCC é o Registrar da área da Europa e Oriente Médio, equivalente à LACNIC. Provavelmente são endereços que não têm tradução direta.

Você está encontrando esses endereços como origem ou destino dos acessos?
Você está usando proxy transparente? Esse seria um efeito colateral possível, pois a máquina não recebe o url real consultado, e sim o endereço IP da requisição.

[righteous]

Esses endereços são máquinas da minha rede, seu quais são e seus IPs. Uma coisa que percebi é que do servidor não consigo pingar no IP da máquina em questão e como disse no próprio access.log não apareci o IP.

Sim, meu proxy é transparente!

zekkerj sabe como posso resolver isso?

[zekkerj]

Desative a tradução de endereços nos relatórios. Vai ficar mais rápido e vai evitar essa informação falsa.

[righteous]

Pode me dizer como desativo?

[zekkerj]

É uma das opções do arquivo "sarg.conf".

[righteous]

Olha só:

# TAG:  resolve_ip yes/no
#       Convert ip address to dns name
#       sarg -n
resolve_ip no

# TAG:  user_ip yes/no
#       Use Ip Address instead userid in reports.
#       sarg -p
user_ip yes

Pensei que fosse o resolve IP. Mais me diz uma coisa no access.log do squid já não mostra o IP, nem consigo pingar nesse IP a partir do servidor Proxy, acho que o SARG seria outra coisa, porque o SARG mostra apenas o que está no access.log só que de forma organizada, se na origem (access.log) não tem, como o destino vai mostrar? :/

[zekkerj]

Você não disse que eram IPs da sua própria rede? Agora não entendi...

[righteous]

E são! Uso proxy transparente, as máquinas da minha rede possuem IP estático, então algumas no relatório do SARG e no próprio arquivo access.log do Squid não mostra o IP, mostra apenas esse *.ripe.net no lugar do IP da máquina que fez o acesso. O que vc não entendeu?

[zekkerj]

... você tem certeza de que são apenas máquinas de sua rede, e não clientes externos que direcionaram o tráfego para você?

[righteous]

zekkerj, certeza, a máquina está do meu lado na mesma rede do proxy. Nunca tinha visto isso! :/

[zekkerj]

Você não entendeu. Tem certeza de que não tem alguém usando seu proxy a partir da internet?

[righteous]

Explica melhor por favor! :/

[Arthur Bernardes]

Tem alguém utilizando seu proxy a partir de uma conexão externa (internet)? Seria interessante bloquear esse tipo de tráfego para a porta de escuta do proxy.,

[righteous]

Seria no caso outra máquina que acessa a internet mais não passa pelo proxy? Se for isso sim, mais essa máquina em questão ela passa pelo proxy, eu sei qual é ela!