Возможно, вы блокируете 205.185.216.42, но если вы не выполните ssl_bump ( документы ), эти соединения будут туннелированы, и squid может разрешить им передавать их в формате https, как указано в строках журнала.;
TCP_TUNNEL/200
Первая запись, по-видимому, блокируется при возврате;
TCP_MISS/403 - и 403 = Доступ запрещен.
Теперь, что общего со всеми этими одинаковыми IP-адресами, это сеть доставки контента, которая, кажется, содержит их hwcdn.net;
$ host script.hotjar.com
script.hotjar.com is an alias for cds.x9r8d8c9.hwcdn.net.
cds.x9r8d8c9.hwcdn.net has address 205.185.216.10
cds.x9r8d8c9.hwcdn.net has address 205.185.216.42
$ host hwcdnssl.cedexis-test.com
hwcdnssl.cedexis-test.com is an alias for cds.x9n3c7e4.hwcdn.net.
cds.x9n3c7e4.hwcdn.net has address 205.185.216.42
$ host tlu.dl.delivery.mp.microsoft.com
tlu.dl.delivery.mp.microsoft.com is an alias for 2-01-3cf7-000d.cdx.cedexis.net.
2-01-3cf7-000d.cdx.cedexis.net is an alias for cds.f7y3z2w8.hwcdn.net.
cds.f7y3z2w8.hwcdn.net has address 205.185.216.10
cds.f7y3z2w8.hwcdn.net has address 205.185.216.42
cds.x9n3c7e4.hwcdn.net has address 205.185.216.10
Эти записи помечены как «плохие» в нескольких брандмауэрах ихосты и они заблокированы.Что касается того, почему ваши клиенты обращаются к адресам, я бы искал любую вредоносную программу для вирусов на хостах, и если это не так, то есть что-то общее с вашими клиентами, которые извлекают данные из этих доменов.(Может быть, там загружается некоторый js или другой размещенный на CDN контент.
Чтобы копать глубже, вам понадобится захватить некоторый трафик от клиента и изучить полезные данные, но перед началом работы проверяйте на наличие вредоносных программ / вирусов / и т. Д.копать слишком много, это может сэкономить вам время!