Ну, ладно, начнем, как всегда, с самого простого – идем на шлюз. Заходим, смотрим в интерфейсы и видим чудо. Прет исходящий трафик почти во весь канал, а кто его отдает – непонятно. На локальном интерфейсе тишина и спокойствие. Трафик, конечно, есть, но уровень не тот. Походил я вокруг да около этого странного явления, ничего непонятно. А потом заглянул в соединения файрвола. А там полнейший чад кутежа. Половина Китая ненавязчиво интересуется у роутера, где находятся те или иные сайты. Проверил внешние порты Nmap и точно – 53 порт открыт. Рекурсивные запросы также разрешены, и да наступит эра усиления DNS! Нехорошо-то как.
Быстренько захлопываем кормушку, обрываем соединения любопытных товарищей, через 20 секунд трафик падает, жизнь возвращается в норму. Да, не спорю, явный косяк настройки, оргвыводы будут обязательно сделаны, и хорошо, что заметили так быстро, пока не нагнано много-много терабайт трафика.