Пошук по сайту

Какая то странная ситуация со спамом из моей сети. Имеется сервак-шлюз с адресом 193.***.***.**, через него, посредством НАТ, ходят несколько сотен абонентов. Они "натятся" на 3 реальных адреса: 1 - реальный адрес сервака 193.***.***.**. 2 - реальный адрес 195.***.*.10 3 - реальный адрес 195.***.*.11 Пришло письмо следующего вида: Включаю tcpdump (tcpdump -i eth0 dst port 25) на внешнем интерфейсе, полно записей вида: 12:39:04.827266 IP 195.***.*.11.60452 > mta-v3.mail.vip.gq1.yahoo.com.smtp: Flags [P.], seq 0:31, ack 45, win 16549, length 31 12:39:04.841176 IP 195.***.*.11.65454 > bay0-mc1-f.bay0.hotmail.com.smtp: Flags [P.], seq 0:24, ack 245, win 16499, length 24 12:39:04.841185 IP 195.***.*.11.65450 > mx1.hotmail.com.smtp: Flags [P.], seq 21:52, ack 432, win 16452, length 31 12:39:04.857570 IP 195.***.*.11.60456 > mta-v2.mail.vip.bf1.yahoo.com.smtp: Flags [P.], seq 0:23, ack 45, win 16549, length 23 12:39:04.857580 IP 195.***.*.11.60454 > mta-v3.mail.vip.gq1.yahoo.com.smtp: Flags [P.], seq 0:30, ack 45, win 16549, length 30 Включаю на внутреннем tcpdump -i eth1 dst port 25 - никаких движений. Делаю: iptables -А OUTPUT -o eth0 -s 195.***.*.11 -p tcp --dport 25 -j DROP iptables -A FORWARD -s 195.***.*.11 -p tcp --dport 25 -j DROP пакеты как ходили так и ходят. Что значит даная ситуация, почему пакеты идущие на 25 порт не видны на внутреннем интерфейсе? Меня взломали?