Странно: внешние IP-адреса работают как внутренние пользователи.

Проблема всё ещё сохраняется. Кто-нибудь МОЖЕТ помочь?

Да, я сделал это.

Ты на 100% уверен, что твой интерфейс ether2 — это не WAN? (У меня складывается впечатление, что в списке исходящих адресов src в torch столько разных «публичных» адресов, что я бы подумал, что это публичный интерфейс, на котором ты запускаешь torch. Я раньше тоже так ошибался!) Если это так, то такое поведение становится более понятным.

Привет! Наконец-то мне удалось поймать, что же на самом деле происходит. Я поймал злодея… Смотрите картинку, прикреплённую к этому посту.  
 

Примечания:  
[1]. ether2 — это наш LAN-интерфейс. Активных интерфейсов всего два — второй, ether1, это WAN.
[2]. «Злоумышленник» (зелёным выделен) действует с нашего LAN-интерейса, будто он наш клиент. Но этот IP — не наш.
[3]. Каждое пакеты атакующего приходит с разного MAC-адреса (выделены красным) — возможно, это алгоритм, который меняет последние два блока адреса (см. красные рамки на картинке).

Пожалуйста, помогите! Эта атака динамически снижает производительность роутера и полностью останавливает некоторые сервисы. Может, мне нужна новая концепция для фаервола роутера, но я не понимаю, что именно происходит.

Предложение Surfertim снижает жар, но не лечит болезнь. Не знаю, как устроена остальная часть вашей сети, но вам нужно попытаться найти источник. Вероятно, путем последовательного исключения возможных источников. Отключайте пользователей по одному, пока не заметите, что этот поток трафика исчезает. Тогда вы хотя бы найдете устройство-источник. По моему мнению, это может быть троян или вирус, который генерирует трафик с поддельным IP и случайным MAC-адресом. Или, может быть, это «бот», который вещает в сеть о своем присутствии (но никто его не слышит!). Скорее всего, у одного из ваших клиентов заражён компьютер. Так что постарайтесь найти источник, отключая каждого по очереди, пока не найдете виновника… вот что я бы сделал. (Не говорю, что это решение, а просто предложение.)