Возможно, у Вас ситуация "icmp redirects" - это например, позволяет любой локальной станции заявить, что она "знает более короткий путь" до любого IP, который она включит в пакет ICMP type=5.
Попробуйте команду "no ip redirects" на Циске на FastEthernet интерфейсе - в Вашем случае единственного внешнего uplink-а ничего плохого от нее не будет.
А если изучение таблиц маршрутизации на хостах покажет, что подвергаются изменению и они, то
www.windowsreference.com/security/disable-icmp-red... 
