[Sysadmins] Чем и как считать траффик

[Kaydannik Alex]

Задавался много раз таким вопросом.
Но сообщество молчит.
Сделал на iptables сбор данных  и дальнейшие танцы с его обработкой.

> Здравствуйте.
> Вот такая проблема - никак не врублюсь в сабж.
>
> Имеем - небольшая сетка (компов 20)
> шлюз -сизиф, NAT
> нужно считать траффик на каждый комп, причём не только суммарный, но и по каждому порту отдельно. Т.е. отдельно http (условно 80-83 порты), отдельно почту (25,110), icq (5190) ну и т.д.
> Следует уточнить, что это - не биллинг, т.е. особая точность тут не важна.
>
> сначала было просто у каждого компа - свой ip, по нему и считал через ulog-acctd -> мускул, из мускула собственный скрипт отображал всё как надо.
> банально на внешнем интерфейсе считался внешний траффик, на внутреннем - считался по внутреннему ip и соответственно разница суммы внутренних и внешнего траффиков считалась собственным траффиком шлюза.
>
> Потом появился прозрачный squid для http.
> Задача усложнилась. теперь не все пакеты, "пойманные" на внутреннем интерфейсе  доходили до внешнего, а так-же часть пакетов внутрь приходило не с внешнего интерфейса, а из кеша сквида. стал обрабатывать информацию ulog-acctd с учётом  сквидовских логов (что он берёт из кеша, а что - из интернета)
> Разброд увеличился, но кое-как общая картина-таки отображается.
>
> Теперь ещё усложнилась задачка.
> Появился виндовый терминал-сервер, и несколько клиентов, работающих на нём, имеют один IP на всех. как дальше считать -вообще не пойму.
> со сквидом ещё кое-как понятно. можно сделать авторизацию. А с остальным?
>
>