Andrey A Lubimets wrote:
Вообще (видимо рискую разжечь флейм) хотелось бы услышать более-менее компетентное мнение на тему iptables(ulog) vs libpcap.Ну или кто подскажет что почитать на эту тему.
Читать придётся в основном флейм :-D Практически весь он будет посвящён тому, что pcap теряет пакеты. Но на самом деле это urban legend. Точнее, скажем так, теряет pcap не больше ulog'а - и там и там могут быть потери если не предпринять некоторых мер. Так что на этом уровне они равны. Далее: pcap портабелен, что очевидный плюс, также очень привлекательно выглядят его гибкие фильтры и pcap "слышит" всё, тогда как ulog только ip. Однако, получаемая через pcap информация о пакете не содержит ни какой информации о маршруте. Т.е. определить вошёл данный пакет или выходит и через какой интерфейс на основании _только_ полученной из pcap информации невозможно. Последний недостаток pcap, на мой взгляд, перевешивает все его плюсы (в рамках обсуждаемой темы учёта и мониторинга трафика, конечно).