>На роутере траффик порядка 20-30 Мбит/сек, 200-300 одновременно работающих пользователей, Работают под
>VPN, через NAT. Надо писать логи всего траффика, подробно не надо,
>хотя бы заголовки пакетов, какой прогой это делать ? tcpdump не
>подходит по причине множества клиентских ppp интерфейсов ( а на выходном
>интерфейсе не будет видно адресов клиентов).
>Всё что могу придумать - LOG (ULOG) iptables, но там очень громоздкие
>логи.

ULOG (--ulog-cprange заранее устанавливаем в 48 (максимальный размер заголовка IP+UDP (20 + 24)), не забываем также и про --ulog-qthreshold) + fprobe-ulog + flow-capture в качестве коллектора + суточная аггрегация в СУБД.

P.S. Если есть нестандартные задачи, аля L2TP, то ulog-cprange придётся увеличивать до 64 (IP + UDP + L2TP).

P.P.S. ulog-cprange 48 в самый раз :).