>[оверквотинг удален]
> натом. Как вычислить от какого компа в сети идет какашка?
> Тут же второй вопрос.
> За тем же натом есть почта на Exchange. Как сделать правила проброса
> портов так, чтобы почтовик в отправителе видел ip отправителя, а не
> ip моего гейта?
> Сейчас проброс делается вот такими правилами:
> iptables -t nat -A PREROUTING -i eth1 -p tcp -d $EXTIP --dport
> 25 -j DNAT --to-destination $MAILIP:25
> iptables -t nat -A POSTROUTING -o eth0 -p tcp -d $MAILIP --dport
> 25 -j SNAT --to-source $EXTIP

Первый вопрос:
"The botnet command and control domain for this connection was "fusdsssufsd3.com"."
Найти обращающийся на "fusdsssufsd3.com" хост....

Второй вопрос:
Посмотреть на правила файрвола и убрать правило, меняющее адрес источника.
(SNAT)

Пожелание - научится не только читать HowTo, но и попытаться их понять....