Уже задавал этот вопрос, спрошу ещё раз.
Есть локалка и есть сервак, на серваке стоит Debian. Пользователи локалки выходят в интернет для чего в iptables cтоит правило SNAT. А в FORWARD стоят отдельно правила для каждой подсети, чтобы удобно было всех считать.
adminko@gate:~$ sudo iptables -t filter -L FORWARD -v --line-numbers
[sudo] password for root:
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 2656K 753M OUTFORWARD all -- any eth0 anywhere anywhere
2 1246K 1101M ACCEPT all -- eth1 eth1 10.10.10.0/24 10.10.10.0/24 /* заводская сеть через шлюз */
3 0 0 ACCEPT all -- eth0 eth1 union-tel.192.240.ru/29 union-tel.192.240.ru/29 /* внешние IP входящий */
4 0 0 ACCEPT all -- eth1 eth0 union-tel.192.240.ru/29 union-tel.192.240.ru/29 /* внешние IP исходящий */
5 2544 562K ACCEPT all -- eth0 eth1 anywhere 192.168.32.0/26 /* изолированые входящий */
6 3145 395K ACCEPT all -- eth1 eth0 192.168.32.0/26 anywhere /* изолированые исходящий */
7 6213 6116K ACCEPT all -- eth0 eth1 anywhere 10.10.10.128/25 /* сервера входящий */
8 6305 382K ACCEPT all -- eth1 eth0 10.10.10.128/25 anywhere /* сервера исходящий */
9 22245 9902K ACCEPT all -- eth0 eth1 anywhere 10.10.10.0/30 /* руководство входящий */
10 22844 2093K ACCEPT all -- eth1 eth0 10.10.10.0/30 anywhere /* руководство исходящий */
11 52304 48M ACCEPT all -- eth0 eth1 anywhere 10.10.10.4/30 /* юр. отдел входящий */
12 45788 6293K ACCEPT all -- eth1 eth0 10.10.10.4/30 anywhere /* юр. отдел исходящий */
13 386K 555M ACCEPT all -- eth0 eth1 anywhere 10.10.10.8/29 /* бухгалтерия входящий */
14 250K 45M ACCEPT all -- eth1 eth0 10.10.10.8/29 anywhere /* бухгалтерия исходящий */
15 242K 232M ACCEPT all -- eth0 eth1 anywhere 10.10.10.16/30 /* отдел персонала входящий */
16 210K 36M ACCEPT all -- eth1 eth0 10.10.10.16/30 anywhere /* отдел персонала исходящий */
17 24559 28M ACCEPT all -- eth0 eth1 anywhere 10.10.10.20/30 /* бюро пропусков входящий */
18 20886 2132K ACCEPT all -- eth1 eth0 10.10.10.20/30 anywhere /* бюро пропусков исходящий */
19 6130 2460K ACCEPT all -- eth0 eth1 anywhere 10.10.10.24/29 /* оги входящий */
20 6445 1031K ACCEPT all -- eth1 eth0 10.10.10.24/29 anywhere /* оги исходящий */
21 0 0 ACCEPT all -- eth0 eth1 anywhere 10.10.10.32/29 /* БКОиС входящий */
22 0 0 ACCEPT all -- eth1 eth0 10.10.10.32/29 anywhere /* БКОиС исходящий */
23 67032 54M ACCEPT all -- eth0 eth1 anywhere 10.10.10.40/29 /* мужики входящий */
24 67654 12M ACCEPT all -- eth1 eth0 10.10.10.40/29 anywhere /* мужики исходящий */
25 761K 772M ACCEPT all -- eth0 eth1 anywhere 10.10.10.48/28 /* личные входящий */
26 479K 434M ACCEPT all -- eth1 eth0 10.10.10.48/28 anywhere /* личные исходящий */
27 763K 922M ACCEPT all -- eth0 eth2 anywhere 192.168.48.1 /* ДальМорРесурс входящий */
28 547K 132M ACCEPT all -- eth2 eth0 192.168.48.1 anywhere /* ДальМорРесурс исходящий */
29 98291 49M ACCEPT all -- eth0 eth2 anywhere 192.168.48.2 /* Краски АКАН входящий */
30 93761 16M ACCEPT all -- eth2 eth0 192.168.48.2 anywhere /* Краски АКАН исходящий */
31 1468K 1992M ACCEPT all -- eth0 eth2 anywhere 192.168.48.3 /* Галант входящий */
32 897K 66M ACCEPT all -- eth2 eth0 192.168.48.3 anywhere /* Галант исходящий */
33 45 3173 REJECT all -- any any anywhere anywhere reject-with icmp-port-unreachable
Очень хочу заиметь какой-нибудь более продвинутый инструмент слежения за пользователями чем счётчики ipptables. Вот знаю, мне сейчас будут советовать Squid, а мне он не подойдёт, потому как я хочу отслеживать не только http-траффик, а вообще любой, в том числе от p2p.
Netflow пробовал. Ну сыпятся куча ft-* файлов в содержании которых куча ip-адресов, а вот как эту информацию расшифровывать не ясно.