iptables не правельный подсчет трафика

[king_kg]

Задача считать трафик, с помощью iptables, проходящий через сервер, входящий и исходящий..
созданы 2 цепочки gcinput и gcoutput, для подсчета входящего и исходящего трафика, в каждую из цепочек добавляются правила на разрешение для определенного ip, по ним и считается трафик. По умолчанию правило DROP. Dроде все работает, НО...
при скачивании файла с любого ftp или какого либо сайта на каждые 200 мб скаченного трафика, есть примерно 8 мб исходящего.... откуда исходящий трафик, если качается цельный файл размером например 600 мб??? вот мои правила...

$IPTABLES -N gcinput
$IPTABLES -N gcoutput
$IPTABLES -P FORWARD DROP

$IPTABLES -A FORWARD -s $LAN_NET -j gcoutput
$IPTABLES -A FORWARD -d $LAN_NET -j gcinput

$IPTABLES -t nat -F
$IPTABLES -t nat -A POSTROUTING -s $LAN_NET ! -d $LAN_NET -j SNAT --to-source $WAN_IP

В цепочки gcinput и gcoutput добавляются следующие правила, например для компа с ip 192.168.0.20
/sbin/iptables -A gcoutput -s 192.168.0.20 -j ACCEPT
/sbin/iptables -A gcinput -d 192.168.0.20 -j ACCEPT

[Mam(O)n]

при скачивании файла с любого ftp или какого либо сайта на каждые 200 мб скаченного трафика, есть примерно 8 мб исходящего....

Всё верно. Изучай матчасть.

[nikulyan]

 

[king_kg]

структуру TCP/IP я понимаю... Такой вопрос возник исходя из того что ранее я пользовал FreeBSD фаервол там другой и есть программка IPCAD, она слушает интерфейс и скидывает логи... при использовании ее такого большого исходящего трафика при скачивании не было... перешел на Linux, возникла необходимость считать трафик, изучил iptables, ну и сделал вывод, что я возможно чтото не так настроил.