Внезапно вырастает ping до 3-4 тысяч м/с на внутренней сети...

м/с єто метрьі в секунду?

В логах системы за этот период что есть интересного?

Это миллисекунды! Исчерпывающий ответ anonymous... Нашел к чему прицепиться!

В /var/log/messages ничего интересного. Какой еще файлик можно глянуть?

Туннели gre или gretap? Я к тому что может у тебя широковещательный трафик всплесками канал забиваем, если сегмент у тебя один между офисами. А пока ты там собираешься что-то тестировать - оно уже и устаканивается.

Из простого - покажи выхлоп с сетевых карт на сервере для следующих команд:

ethtool -g lan0
ethtool -K lan0
ethtool -S lan0

Вместо lan0 соответственно подставь по очереди имя внутренней и внешней сетевой карты.

Если там ничего криминального не будет, тогда я бы поставил на запись tcpdump-ом трафик до момента возникновения проблем, а когда это снова повторится - повтыкал бы в дамп, например через Wireshark. Учти, весить это всё может прилично, особенно если трафика много, а проблема возникает нечасто.

Спасибо за совет. Завтра всё испробую. Туннели gre. Проблемы начались после смены внешнего белого ip адреса. Все правила iptables уже перерыл, криминального ничего не нашёл. А после смены ip адреса менялось 3 файла: 1)netfilter(скрипт правил iptables). 2)interfaces 3)route или route.d. Точно не помню сейчас. В этом файле были прописаны роуты как бы вручную. Я не знаю, для чего изначально его использовали.(сервер не я поднимал). Я там все закомментировал и вместо этого файла, прописал конфиг туннелей в interfaces. Самое интересное, что я пробовал на сервер подключиться по его внешнему адресу, в моменты когда пинг нереально большой. В итоге всё так же висело, как будто я иду по внутренней сетки (туннелю). Хотя внешний ip доступен под 17-20 мс... А потом само собой все становится хорошо. Но это Линукс, здесь чудес не бывает.:)

Торренты, бэкапы по сети, еще что-то что очень грузит канал или создает сразу много соединений. Один из способов найти что-то без tcpdump'а, например, если это происходит очень редко и в разное время, это смотреть графики и знать хотя бы примерно или иметь данное о том, что в момент тормозов было запущено. Также стоит сопоставить графики дисковой активности и cpu активности в с графиками сети в момент тормозов. Вообще может быть что угодно, может там роутер какой-нибудь древний DDoS'сят например, или кто-то решил фильм посмотреть, скачивая его торрент клиентом. Если это локально, то это скорей всего бэкапы. Вообще все операции, которые очень активны на дисковую подсистему и внутренний трафик, лучше изначально лимитировать и шейпить.

В итоге всё так же висело, как будто я иду по внутренней сетки (туннелю)

iowait большой скорей всего вот и висит. Пинги при этом и нормально могут ходить.

А после смены ip адреса менялось 3 файла: 1)netfilter(скрипт правил iptables). 2)interfaces 3)route или route.d. Точно не помню сейчас. В этом файле были прописаны роуты как бы вручную. Я не знаю, для чего изначально его использовали.(сервер не я поднимал). Я там все закомментировал и вместо этого файла, прописал конфиг туннелей в interfaces.

На фоне «Точно не помню сейчас» и «Я там все закомментировал» не исключаю что раньше был настроен шейпер, который вы «похоронили». В результате как написали выше может класть канал все что угодно, начиная от банального торрент клиента.