Relatorios SARG Ripe.net

righteous · 23 de Abril de 2014, 15:12

Estou usando o SARG com Webmim para ver os relatórios do Squid, porém alguns hosts aparecem com o endereço: tconsole.k.ripe.net, gw.k-testbed.nikrtr.ripe.net, bcast.sup.ams-ix.k.ripe.net , dentre outros. Alguém sabe dizer o porque disso? Vejo todos os acessos mas não consigo identificar o IP desse hosts, no próprio access.log também vejo o que foi acessado mais não identifico o IP.

zekkerj · 23 de Abril de 2014, 18:53

RIPE-NCC é o Registrar da área da Europa e Oriente Médio, equivalente à LACNIC. Provavelmente são endereços que não têm tradução direta.

Você está encontrando esses endereços como origem ou destino dos acessos?
Você está usando proxy transparente? Esse seria um efeito colateral possível, pois a máquina não recebe o url real consultado, e sim o endereço IP da requisição.

righteous · 24 de Abril de 2014, 07:38

Esses endereços são máquinas da minha rede, seu quais são e seus IPs. Uma coisa que percebi é que do servidor não consigo pingar no IP da máquina em questão e como disse no próprio access.log não apareci o IP.

Sim, meu proxy é transparente!

zekkerj sabe como posso resolver isso?

zekkerj · 24 de Abril de 2014, 07:48

Desative a tradução de endereços nos relatórios. Vai ficar mais rápido e vai evitar essa informação falsa.

righteous · 24 de Abril de 2014, 08:35

Pode me dizer como desativo?

zekkerj · 24 de Abril de 2014, 14:48

É uma das opções do arquivo "sarg.conf".

righteous · 24 de Abril de 2014, 15:38

Olha só:

# TAG: resolve_ip yes/no
# Convert ip address to dns name
# sarg -n
resolve_ip no

# TAG: user_ip yes/no
# Use Ip Address instead userid in reports.
# sarg -p
user_ip yes

Pensei que fosse o resolve IP. Mais me diz uma coisa no access.log do squid já não mostra o IP, nem consigo pingar nesse IP a partir do servidor Proxy, acho que o SARG seria outra coisa, porque o SARG mostra apenas o que está no access.log só que de forma organizada, se na origem (access.log) não tem, como o destino vai mostrar? :/

zekkerj · 24 de Abril de 2014, 15:55

Você não disse que eram IPs da sua própria rede? Agora não entendi...

righteous · 24 de Abril de 2014, 16:14

E são! Uso proxy transparente, as máquinas da minha rede possuem IP estático, então algumas no relatório do SARG e no próprio arquivo access.log do Squid não mostra o IP, mostra apenas esse *.ripe.net no lugar do IP da máquina que fez o acesso. O que vc não entendeu?

zekkerj · 24 de Abril de 2014, 20:52

... você tem certeza de que são apenas máquinas de sua rede, e não clientes externos que direcionaram o tráfego para você?

righteous · 07 de Maio de 2014, 09:53

zekkerj, certeza, a máquina está do meu lado na mesma rede do proxy. Nunca tinha visto isso! :/

zekkerj · 07 de Maio de 2014, 11:39

Você não entendeu. Tem certeza de que não tem alguém usando seu proxy a partir da internet?

righteous · 08 de Maio de 2014, 09:11

Explica melhor por favor! :/

Arthur Bernardes · 08 de Maio de 2014, 10:11

Tem alguém utilizando seu proxy a partir de uma conexão externa (internet)? Seria interessante bloquear esse tipo de tráfego para a porta de escuta do proxy.,

righteous · 08 de Maio de 2014, 10:19

Seria no caso outra máquina que acessa a internet mais não passa pelo proxy? Se for isso sim, mais essa máquina em questão ela passa pelo proxy, eu sei qual é ela!