ipchains

делай новую цепочку и -j output её.. а в этой цепочке пропиши всё ип-ки из сетки в -d

а по моему лутше всего былобы сделать 2 цепочки ! input и output и считать все пакеты уходящие и приходящие, это была бы достаточно объективная статистика

а примерчик можно?

ipchains -A input -s mycomp -d ! localnet ---- считалка трафика от mycomp
ipchains -A output -d mycomp -s ! localnet ---- считал трафика из INET на mycomp

! localnet чтобы не считать лишнего.

Блин! когда я, к примеру, говорю про ipchains -nvxL подразумевается,
что траффик считается в цепочках input & output и отдельно по интер-
фейсам. А в цепочке forward посчитать удастся только маршрутизируемые
пакеты, и то в Вашем примере - только исходящие. Читайте перевод
ipchains-HOWTO в разделе документации. Читайте NOTES в man ipchains.
Вот уж не думал, что в конфе кто-то ждет трактата на 10 страниц. Наивно
это как-то.

Вдогонку: ipchains позволит посчитать пакеты, которые прошли sanity, т. е. у них нет ошибок в заголовке ip-датаграммы. Расхождение зависит от канала и т.п. Полную статистику по пакетам в канале можно снять из файла /proc/net/dev. Только сбросить ее удастся, насколько мне здесь объяснили лишь полным перезапуском сетки. Поэтому обычно хранят преды- дущий слепок, а потом вычитают.