учёт трафика в iptables. Куда добавлять цепочки?

если надо считать все пришедшие из сети пакеты, а не только те, которые прошли через файерволл - надо ставить до.

Ты по-моему вообще не правильно понимаешь архитектуру iptables.

Достаточно например (я даю пример для роутера и соотв для FORWARD поскольку у меня все так крутится но можно и сделать для INPUT/OUTPUT для локальной машины)

1) все общие правила iptables (например, если какая-то подсеть разрешена беслпатно или наоборот запрещена намертво)
2) правила на конкретного пользователя:
iptables -A FORWARD -s 192.168.10.11 -j ACCEPT
iptables -A FORWARD -d 192.168.10.11 -j ACCEPT
....

3) Снимается информация со всей этой фигни вот так:
iptables -n -L FORWARD -v -x -Z FORWARD
-n означает не резолвить ip-адреса в имена
-L -v -x означает вывести список правил + колонку кол-ва байт + колонку кол-ва пакетов -Z FORWARD означает обнулить счетчики.
Разгребаешь выданные правила перлом и собираешь данные.

Заводишь отдельную ветку и ставишь правила туда. Я делаю до остальной обработки. Трафик-то ведь считается провайдером :) на внешнем канале.

> Ты по-моему вообще не правильно понимаешь архитектуру iptables

Да нет, вроде всё понимаю. Я знаю, как снять данные. Я наверное плохо объяснил суть задачи. Данные у меня как раз таки снимаются в перловой программе, поэтому в правилах мне лишь надо создать цепочку, по которой я буду считывать накопленный результат. Может быть, я конечно действительно не очень понимаю что-то ...

Я уже понял, куда мне надо добавлять цепочки с подсчётом - перед основными правилами. Всем ответившим спасибо.