>что-то не пойму -- исходящий трафик тоже платный ??
>если нет -- то по платному входящему могу добавить только то, что
>мы (пров или кто там) -- за этот трафик уже нашему
>провайдеру уже заплатили, так что если мы его отфильтравали, то либо
>списываем на "общие" расходы -- либо на потребителя. Проблема в том, что в ULOG попадают пакеты которые потом блокируются (policy DROP!).
Представим такую ситуацию:
Локальная машина 192.168.0.2
Шлюз имеет внутренний адрес 192.168.0.1
Внешний: 123.123.123.123
С локальной машины пользователь пытается открыть какой-нибуть сайт в инете:
запрос от 0.2 идёт к шлюзу 0.1 на котором пакет сначала попадает в -j ULOG (пакет считается!!), а потом не попадая ни в одно из разрешающих правил по policy DROP откидывается! Получается, что пакет на шлюзе был посчитан, а в инет (на шлюз провайдера) не ушёл!
(шлюз 0.1 - это наш офисный сервер, а не провайдерский)
Так и нужно, чтобы пакет который не пройдёт FORWARD не попадал в ULOG