Qu'est-ce qui pourrait entraîner un débit énorme du pare-feu ?

Au moins vos statistiques munin sont nouvelles. Mais au cours des quelques jours surveillés, il est possible de voir un changement sur les deux derniers jours.

Je suppose que vos PC sont éteints la nuit - le seul appareil actif serait votre pare-feu.

Veuillez vérifier le pare-feu pour les infections avec rootkit_hunter: http://www.rootkit.nl/projects/rootkit_hunter.html

Je pense que votre pare-feu est nouveau et vous devriez vérifier les mises à jour.

Veuillez vérifier quels ports sont ouverts depuis le côté internet: http://www.yougetsignal.com/tools/open-ports/

Votre routeur a-t-il la capacité d'afficher les adresses IP connectées? Certaines d'entre elles affichent-elles beaucoup d'activité suspecte?

TCPdump peut montrer ce qui passe à travers la connexion. Vous pourriez rediriger le trafic de votre routeur vers une machine virtuelle et le rediriger à partir de là pour pouvoir intercepter le trafic et voir ce qui passe à travers la connexion.

Quelque chose d'inhabituel dans les journaux sur les différentes machines?

Qu'en est-il des statistiques des interfaces réseau sur vos machines? Réinitialisez les statistiques et voyez ce qui se passe.

Si vos machines sont déconnectées pendant un certain temps du réseau, votre routeur montre-t-il toujours des niveaux d'activité élevés?

Votre routeur affiche-t-il des postes de travail connectés, ou pouvez-vous détecter des adresses MAC et/ou des adresses IP suspectes sur votre réseau si vous avez du sans fil?

Avez-vous exécuté des analyses de virus/malware sur toutes vos machines, en gardant à l'esprit qu'elles peuvent seulement vous dire si vous êtes infecté, pas si vous ne l'êtes pas (en d'autres termes, ce n'est pas fiable à 100% car les malwares peuvent se dissimuler s'ils sont astucieux)?

La meilleure chose à essayer selon moi est de mettre en place une autre machine dans le réseau pour intercepter le trafic réseau et rechercher des anomalies. Si je lis correctement vos statistiques de trafic, vous recevez une énorme quantité de trafic entrant, pas beaucoup sortant, donc soit quelqu'un télécharge beaucoup de choses, soit vous êtes victime d'une sorte de sonde ou d'une attaque. Si vous ne pouvez pas trouver la source dans votre réseau, contactez votre FAI et voyez s'ils peuvent voir ce qui arrive à votre connexion de leur côté; ils devraient être en mesure de déterminer un peu mieux si vous subissez une attaque de déni de service. Vérifiez votre routeur, vérifiez avec des outils de capture de paquets, vérifiez en utilisant une VM propre et redirigez tout le trafic avec un empoisonnement ARP pour voir si vous pouvez détecter d'où provient l'activité.

Si vous avez du sans fil, essayez de le désactiver pour déterminer s'il y a une autre personne sur votre réseau (si vous n'avez pas de routeur/AP qui vous indique déjà l'adresse MAC des postes de travail connectés).

Il est possible qu'une de vos machines soit infectée, et c'est votre machine qui attaque les autres.

Essayez iptraf pour surveiller l'activité des connexions. Si une connexion consomme toute la bande passante, vous le verrez.

De plus, si cela est causé par des connexions sur des ports non ouverts, vous ne le verrez pas avec netstat (qui liste uniquement les connexions sur des sockets ouverts). Essayez de vous connecter avec netfilter et/ou avec tcpdump.