[tmp0000]

Сообщение от rmn поздно пить боржоми...

Дык понятно, что без логов в содеянном не разобраться, мне на будущее...

Цитата: отказаться от NAT для всех, настроить прокси и NAT для избранных. как минимум, повесить ipcad для разбора полётов постфактум, fwlogwatch пускать регулярно и изучать логи. журналировать абсолютно все пакеты накладно, логи зафлудятся быстро (см. описание модуля limit)

От NAT уже отказываемся. За ipcad и fwlogwatch -- спасибо.

Цитата: и про INPUT и "ничего необычного" в эту цепочку попадают пакеты, адресованные хосту. А тебе нужно анализировать то, что через FORWARD проходит. тут есть наглядная схема продвижения пакетов в iptables. Лучше в ней разобраться хорошенько.

Про эту схемку я знаю (она есть в каждой доке); просто под вечер уже особо не думается.
С утра залогинился в систему, посмотрел как тупил вчера вечером, посмеялся, сделал нормально.

И еще одно: при логине банк Уралсиб выдает следующее:

Цитата: УРАЛСИБ: Вопрос: В каких случаях IP адрес компьютера банк считает неблагонадежным? Ответ: IP-адрес компьютера в сети Интернет, с которого Вы входите в систему «УРАЛСИБ+Интернет», проверяется по специализированным базам данных, содержащим списки неблагонадежных адресов DNSBL (DNS Black List). Как правило, в "черный список" (Black List) попадают компьютеры, зараженные вирусом, либо являющиеся открытыми прокси-серверами. Если при входе в систему «УРАЛСИБ+Интернет» появляется предупреждение о том, что IP-адрес компьютера является неблагонадежным, настоятельно рекомендуем проверить компьютер на наличие вирусов. В случае обнаружения на компьютере вируса, а также при работе в «УРАЛСИБ+Интернет» не со своего компьютера (например, в интернет-кафе), при последующем входе обязательно смените пароль входа и проверьте журнал событий на наличие подозрительных записей.

Видимо, последствия вчерашних событий