Столкнулся с тем, что определенному IP в сквиде предоставляется доступ к кэшу, хотя в явном виде в ACL он не указан, в подсетях тоже его нет, но каким-то чудом сквид его пускает...

Задумался - а есть ли возможность аудита правил, например - доступ для клиента такого то, разрешен согласно правилу такому то, доступ к сайту такому-то запрещен из-за правил таких-то...? Может есть что-то вроде cachemanager'a c такими возможностями?