ipchains + подчёт трафика ??

Ну не знаю! Вообще то из личного опыта - снимать трафик с цепочек форвард - не правильно! Ибо та показывается не весь трафик!!!! 8(( Я делаю это так -I input -s xx.xx.xx.xx -d yy.yy.yy.yy -J ACCEPT -I input -s yy.yy.yy.yy -d xx.xx.xx.xx -J ACCEPT И снимаю с них! В принципе можно это же делать так! -I output -s xx.xx.xx.xx -d yy.yy.yy.yy -J ACCEPT -I input -s xx.xx.xx.xx -d yy.yy.yy.yy -J ACCEPT Но мне больше подходит первый метод! А оседания трафика быть не должно. При правильно сконфигурённом раутинге его просто нету!

Да но как на input настроить маскарадинг в таком случае ? Я просто сделал не законченное правило без -j на котором и снимаеться трафик ... но так как правило не законченное пакет передаёться на обсуждение остальным правилам не оседая на этом ... -A output -d 192.168.0.10 - на этом правиле ,как раз после демаскарадинга оседает входящий в локалку трафик для адреса 192.168.0.10

вообщем можно было бы сделать подсчёт трафика при маскарадинге так :

-A forward -i [внутренний интерфейс] -j MASQ # Маскарадинг для всех.

-A output -d x.x.x.1 # Снятие входящего трафика для каждого. -A output -d x.x.x.n

Не пускать лишних людей можно через arp : arp -f /etc/arptables где формат записи такой : 192.168.0.111 00:00:00:00:00:00

Если бы не эти лишние пакеты.... :+((