[Comm] iptables and traffic counting

[Alexey Morsov]

Привет,

Таки я справился с хождением трафика через linux-маршрутизаор при 
  политиках INPUT и OUTPUT = DROP... все работает как надо, но 
теперь надо обсчитывать трафик (ибо из сквида счетчик не совсем 
хорошой по известным причинам).

Вот мои настройки iptables. Все IP реальные (ну тоесть они все 
фейковые кроме MAIL):

#!/bin/sh
# объявим переменные
FW="/sbin/iptables"

LAN_NET="192.168.130.0/24"
LAN_IP="192.168.130.2"
LAN_ETH="eth0"

INET_IP="192.168.1.2"
INET_ETH="eth1"

# для нашей почты и спота
MAIL="194.xxx.xxx.xxx/29"

# локалка
LH="127.0.0.1"
PROXY_PORT="3128"

modprobe ip_nat_ftp

# все прочистим
$FW -t nat -F
$FW -F
$FW -X

# все всем запретить
$FW -P INPUT DROP
$FW -P FORWARD DROP
$FW -P OUTPUT ACCEPT

# а теперь начнем прописывать правила
# для INPUT
$FW -A INPUT -p tcp -s $LAN_NET -d $LAN_IP -j TCP_FROM_LAN
$FW -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$FW -A INPUT -m state --state NEW -i ! $INET_ETH -j ACCEPT
$FW -A INPUT -i $INET_ETH -d $INET_IP -j ACCEPT

# для FORWARD
$FW -A FORWARD -s $LAN_NET -i $LAN_ETH -o $LAN_ETH -j ACCEPT
$FW -A FORWARD -s $RICOM_NET -i $LAN_ETH -o $LAN_ETH -j ACCEPT

Вот... Даже SNAT не нужен - от прокси все уходит к нему все 
приходит - а всякие транзиты (кроме нашей почты) курят бамбук.

Вопрос - где лучше всего обстчитывать трафик который накачивает 
наша локалка из инета (ну и каждый в отдельности - но это уже 
понятно как из общего выделить)?

Я так мыслю что надо в OUTPUT весь траффик tcp для локалки в 
отдельную цепочку (там же раскидать каждого юзера по отдельным 
цепочкам)...

Или я не туда мыслю?