вопрос по ipt_NETFLOW и iptables

Данное правило стоит последним в FORWARD.

Ну вот и учтётся только то, что до него дойдёт.

В вике сказано следующее:

Потоком считается набор пакетов, проходящих в одном направлении. Когда сенсор определяет, что поток закончился (по изменению параметров пакетов, либо по сбросу TCP-сессии), он отправляет информацию в коллектор. В зависимости от настроек он также может периодически отправлять в коллектор информацию о все еще идущих потоках.

Т.е. получается, что пока клиент не получит данные от того кому отправлял запрос, сенсор не отправляет данные о трафике на коллектор.

Т.е. получается, что пока клиент не получит данные от того кому отправлял
запрос, сенсор не отправляет данные о трафике на коллектор.

Нет. Это тут совсем не при чём. У сенсора собственное понимание потока и он фиксирует всё. Код не смотрел, но учитывая, что понятие «поток» распространяется на всё, а не только на tcp, он за tcp-сессиями не следит. А данные он отправляет либо когда завершается поток, либо когда истекает таймаут. Либо когда приходит соответствующая команда.

Наверное надо поставить какой нить хост в REJECT и посмотреть какая за день стата в NETFLOW по данному хосту выйдет. Просто не понятно до конца, что будет в данном варианте.

Наверное надо поставить какой нить хост в REJECT и посмотреть какая за день стата в NETFLOW
по данному хосту выйдет. Просто не понятно до конца, что будет в данном варианте.

Никакой статистики не будет. Только и хост работать не будет. Правильно поставить ACCEPT. Статистики не будет тоже.

Моя тема: [ipt_netflow] или [flow-tools] врут

Тот же AS отвечал :) Нужно правило поставить в начало цепочки iptables -I FORWARD -j NETFLOW Фильтровать он ничего не фильтрует, насколько я заметил.