стоит задача контролировать входящий трафик с возможностью предоставления статистики по серым адресам
Реализовал я это так
1. отдаю возвращающиеся с инета пакеты в модуль ipt_ULOG
iptables -A FORWARD -o eth1 -d 192.168.0.0/16 -j ULOG --ulog-nlgroup 1 --ulog-cprange 100 --ulog-qthreshold 10
2. Запущен демон ulogd, кот. записывает заголовки в таблицу mysql
3. из самой таблицы повыкидывал ненужные столбцы в целях уменьшения загрузки

итого любая статистика теперь строится запросом sql, причем в реальном режиме времени

Есть сомнения у меня , хорошо ли так на самом деле и вообще правильно ли так делать?
Смущает что идет непрерывная запись на диск, что предположительно создает тормоза, хотя с другой стороны всеравно идет все через буферный кеш, загрузка диска вроде ниче:


P.S.
Вопрос возник, т.к. в нечастые случайные моменты времени для некоторых юзеров перестает видится шлюз секунд так на 5-10 ( при этом у других может все работать )
Это может случиться за день раз 5 ( а может и неслучиться совсем :)
Не могу поймать из-за чего затыки.