[MASOCH-L] Squid: Autenticar e "logar" tentativa de acesso não autorizado

[MARLON BORBA]

Srs.,

Estou configurando um Squid (2.5-STABLE9) em um servidor Fedora Core, de modo a que ele exija autenticação contra uma base de dados LDAP, o que está funcionando corretamente. 

Meu problema, agora, é como fazer com que, depois de autenticado, caso o cidadão tente fazer acesso a um "site" não autorizado (pornográfico, por exemplo) a requisição seja "logada" com o "username". 

Sabemos que o Squid processa as diretivas http_access de cima para baixo, interrompendo o processamento na primeira diretiva que confere com a requisição. Assim, na minha configuração, o usuário consegue se autenticar com sucesso, mas os "sites" proibidos não são bloqueados e menos ainda logados.

Trecho relevante do meu Squid.conf:

[...]
acl autenticados proxy_auth REQUIRED
[...]
# sites proibidos
acl liberado dstdom_regex "/etc/squid/liberado.txt"
acl semacesso dstdom_regex "/etc/squid/semacesso.txt"
[...]
# permitindo acesso a usuarios autenticados
http_access allow autenticados

# e proibindo sites nao permitidos
http_access allow liberado
http_access deny semacesso

# And finally deny all other access to this proxy
http_access allow localhost
http_access deny all
[...]


As linhas estão EXATAMENTE nessa ordem. Se exijo a autenticação primeiro, não "logo" os sites proibidos; se faço isso depois, a entrada é "logada" no Cache.log, SEM o "login" do indivíduo que tentou fazer a lambança (como diria o Villas-Bôas Corrêa).

Aceito sugestões... :-)



Abraços,
Marlon Borba, CISSP.
--
Nova campanha:
Centro de Resposta a Incidentes de
Segurança da Justiça Federal - Vamos criar!
--