iptables плохо считает

одного правила !? а вы, молодой человек, INPUT от FORWARDа отличаете вообще ?

>Я чего то на www.netfilter.org ничего не нашел на эту тему.

Это потому, что iptables не для этого пишут :)

А вы анонимус понгимаете что траффик из инета точно идет транзитом и в цепочку Input(для локальных процессов) не попадает ни каким местом ?

Наш домашний биллинг основан именно на подсчете трафика через iptables. Основываясь на мнении человека, которому я тоже слегка доверяю (т.е. себе), могу сообщить, что никаких погрешностей за два года эксплуатации не замечено. Я уж не говорю про "район 30%". Другое дело, что iptables можно криво настроить, и считать он будет далеко не все...

я тоже не видел в таблесах никаких погрешностей...

Тот человек которому вы доверяете на 100% он тоже в iptables разбирается с погрешностью 30%. По Вашим словам можно судить что он полный 0

считать лучше в таблице mangle

в цепочках PREROUTING (для входящего трафика) и POSTROUTING (исходящ. трафик)

Стоп. Фишка то в том что там вообще странный косяк он нащитывает больше чем надо причем там по интерфейсам столько не проходит сколько это правило насчитывает.

да , есть такая жопа с теблями . Считает на 5-10% больше чем выходит реально . Я тут давненько задавал такие вопросы , активно тыркался в гугле . Ниче интересного не нашел :( Интуитивно - тебли наверное считают не только трафик который идет к клиенту но и служебную информацию которая идет в пакете . Вот и получаются расхождения . Ты слил 1 мб , а счетчик показал что ты слил 1.05-1.1 мб . Еще нужно учитывать что счетчики считают по принципу 1Мб=1000Кб=1000000Б . Но всеравно даже при учитывании расхождения между 1024 и 1000 несовпадение остается как факт . Мы забили на это ;) У нас трафик беспл . Ведем только для общей статистики и не более .

iptables не врёт. Он просто считает длину пакета без заголовков ethernet, но с остальными заголовками IP. А тому другу больше не доверяйте, так как такую чушь может сказать только полный ноль. Вы в исходники netfilter загляните и увидите, что он неправильно считать не может. А если пров насчитывает меньше, то это у него проблемы. Например пров может считать снифером, пакеты могут теряться. iptables в любом случае пакеты не теряет.

И вообще, действительно, считайте в таблице nat. ;-)

Спасибо всем. Я действительно сформулировал вопрос не корректно по поводу врет. Я понимаю что не врет - просто понять не мог что ещё считает - теперь знаю ( спасибо объяснили) про заголовки. Тема закрыта - всем спасибо (особенно 2 последних сообщ).