Существует много вещей, которые могут бросить ошибку доступа запрещен, иногда она не имеет никакого отношения к полномочиям вообще.
Так, мы испытываем необходимость в большей информации, такой как;
Вам следует полагаться на журналы вашего брандмауэра, чтобы отслеживать исходящие интернет-соединения и сопоставлять их с внутренними IP-адресами, с которых они исходят. Какой маршрутизатор / брандмауэр вы используете для NAT? Даже Linux-сервер, на котором запущен IPTABLES, может обеспечить такой вид ведения журнала.
Другой вариант - настроить прокси, заставляя пользователей использовать его, а затем использовать его журналы; но это, конечно, применимо только к веб-трафику.