[tmp0000]

Еще одна проблема (никто не против, что я напишу здесь?): имеется офис с linux-шлюзом (NAT) и ~30 компьютеров.

Провайдер (sampo.ru) сегодня закрыл доступ:

Цитата: Закрыт 29.09.2008 15:32: Оказание услуги доступа в интернет приостановлено в связи с массовой передачей необоснованного трафика по сети (большая вероятность работы вирусной или «троянской» программы на Вашем компьютере) с одного из ваших компьютеров (IP: XXX.XX.XX.XX, MAC: XX:XX:XX:XX:XX:XX). Самопроизвольная генерация трафика может привести к необоснованным списаниям с Вашего лицевого счёта. Просим принять меры к проверке Ваших компьютеров. Все справки в службе поддержки по телефону (8142)592424 с 8:00 до 22:00.

Более подробную информацию от провайдера я получить так и не смог (кроме фраз о сканировании сети).
Видимо, в нашей подсети завелась жутко инфицированная машина под управлением MS Windows.

Вопрос: как с минимальными время- и трудозатратами вычислить инфицированную машину, являющуюся источником "левого" трафика?

Пока что добавил правило в INPUT:

Код:

7    LOG        all  --  anywhere             anywhere            LOG level info prefix `Unknown Input '

, но это помогает слабо, ничего необычного заметить не могу.