Добрый день. Поставил себе flow-tools, но не могу разобраться с его фильтрами.
Написал следующие фильтры:

filter-primitive set1
  type ip-address-prefix
  permit 192.168.0.0/24

filter-definition set1
    match ip-source-address set1

filter-primitive set3
  type ip-address-prefix
  permit 192.168.6.0/24

filter-definition set3
    match ip-source-address set3

filter-primitive set2
  type ip-address-prefix
  permit 192.168.1.0/24

filter-definition set2
    match ip-source-address set2

filter-primitive mail_server
type ip-address
permit 192.168.10.6
default deny
  
filter-primitive proxy_server
  type ip-address
  permit 192.168.10.2
  default deny
  
filter-primitive gw_server
type ip-address
permit 192.168.10.3    
default deny

filter-primitive all  
  type ip-address-prefix
  permit 192.168.0.0/24
  permit 192.168.1.0/24
  permit 192.168.3.0/24
  permit 192.168.5.0/24
  permit 192.168.6.0/24

filter-definition all
match src-ip-addr set1
or
match src-ip-addr set2
or
match src-ip-addr set3
or
match src-ip-addr set4  
match dst-ip-addr mail_server
  or
  match dst-ip-addr proxy_server
  or
  match dst-ip-addr gw_server

filter-definition proxy_server
match ip-source-address proxy_server

так вот, в чем проблема, когда делаю фильтрацию по притиву all, то показывает какой то странный трафик. Суммарный трафик около 20 Гб., а по фильтру показывает в районе 1 Гб. Хотя весь трафик ходит через эти сервера. Так же для прокси сервера. Прокся показывает около 2-ух Гб, а фильтр меньше 500 Мб. Может я как то не правильно написал фильтры? не подскажите, как сделать правильно?

выборку делаю так:

flow-cat /usr/local/flow/acct/2010/2010-01/tmp* | flow-nfilter -Fproxy_server -f /usr/local/etc/flow-tools/filter.cfg | flow-stat -f15

Заранее спасибо )