準備一台機器，上面裝類似sniffer的監控軟體，然後該機器也負責DNS解析的工作
把所以內網的Default Geteway都指向這一台，DNS也是指向這一台，
由於你們是內網，所以只要不是內網的封包，都會丟到Default Gateway這台!!
就可以根據sniffer和DNS的查詢Log來看出那些電腦在做不正當的存取!!!
Default Gateway不一定真的要做Gateway的工作，只是收集有要往外丟的封包!!

用一台雙網卡的linux機器配合squid架一台proxy server
squid可以配合sarg這個工具可以分析連外連線的狀況
方便很多,gateway可以不用設定,只要瀏覽器上面proxy設為這台主機就好
缺點是只能有http,ftp這類連線連外
squid也可以設定ACL限定某些機器可不可以連外或限定連到那些網站

別忘記，還有 iptables 的 LOG 功能可以看.....

我也是想到這個
架一個NAT Server當Gateway
在iptables上增加Log的規則即可

既然你的內部網路無法連上外部的網路那又怎會中毒呢...就算像這次的kavo是由隨身碟感染那也還好...反正你的內部電腦怎樣都連不出去,不是嗎..所以內部網路架一台防毒主機對內網的user pc做病毒碼的更新.並收集各user pc的狀況..這樣你只要管控這台防毒主機.你就可以得知哪一台user pc有問題

這是網路基本架構. 需要 Default Gateway 來做 Routing

1.內外網電腦允許使用磁片及USB隨身設備,這造成內網電腦中獎的原因
2.內網電腦中獎,該中獎電腦可能傳染任何插入該電腦之USB隨身設備及磁片,並將機密檔案寫入儲存媒體
3.步驟2中獎儲存媒體再於外網電腦中使用,木馬就會將機密檔案外送
本單位真的有上述的案例發生過,但事涉機密不能多說


故內網電腦若嘗試連結Public IP還是必需早期發現早期治療

如果內網電腦使用USB 3.5G 無線上網呢?

你一開始提到沒 gateway，所以我以為你們網路架構不大，沒 gateway 通常是只有在機器少的內網才會這樣做。
我認為你要把每台電腦的 gateway 都指到某一台機器上，不屬於同區段的封包就會被往那台機器丟，然後在那台機器上做 log 即可。
我不知道你們的狀況，能建議的就是這樣而已。