Задача посчитать трафик и сверить его с провайдером. Исходные данные:
Линукс имеет 2 карточки - eth0 внешняя x.v.z.k и eth1 внутренняя 172.16.0.1 обслуживает сетку 172.16.0.0/24
на линуксе подняты NAT, Сквид, DNS кешируюший, Мускул, Апач - вроде все.
Настроено прозрачное проксирование которое ловит запросы по 80 порту и по 8080 (у прова на 8080 прокси висит) и переадресовывается на 3128. Прозрачное проксирование прерывается лишь на 3 часа вечером - чтоб дать возможное приближенным к императору снять сексуальную нагрузку вечером (ну там порно сайты и пр:).
Считаю трафик так 1 Логи прокси лопатить SARG и выдает статистику тех кто лазил в инете через броузеры почти все время за исключением приближенных к императору. Понятно что тут не весь трафик сюда не входит почта и еще кое какой трафик, но вкаком то приближении картина похожа на правду. 2 Для подсчета всего трафика используется пакет ULOGD который посоветовал провайдер когда трафик у нас жутко не шел. Этот пакет с цепочек iptables снимает счетчики и складывает их в мускул для расчета созданы правила:
iptables -A INPUT -i eth0 -j ULOG --ulog-prefix "USE" Полагаю, что сюда должен валиться весь входящий трафик от провайдера и даже не только от него но и запросы какие то сетки
iptables -A FORWARD -s 0/0 -i eth0 -o eth1 -j ULOG --ulog-prefix "FW" Полагаю, что сюда должен валиться весь пересылаемый трафик от от внешней карточки ко внутренней те наивно думаю что все что идет мимо проксей через нат осядет тут.
Ну и создаются правила для каждой машины сети такие
iptables -A OUTPUT -s 172.16.0.1 -d ip_клиента -j ULOG --ulog-prefix "Vasia!"
те считается весь исходящий трафик от карточки шлюза до конкретного клиента. Трафик складывается и выдается результат в апаче.
но результаты меня несколько удивляют а вчера расчеты показали
провайдер 41.1 Мб прокси 37 МБ (11% кеш)
Ulogd сумма трафика от шлюза до каждого клиента 29МБ Ulogd сумма входящего и форварднутого трафика всего 35Мб Вопрос где остальной трафик? почему весь трафик меньше чем показывает прокси? Что я не учел или что вообще сделал неправильно? Пособите найти трафик.