Eu tenho uma caixa rodando Mikrotik RouterOS, que está configurada para fazer proxying web transparente, como descrito aqui .
Em suma, isso significa que eu tenho uma regra de firewall para o NAT de destino, fazendo com que o tráfego da porta 80 seja redirecionado para a porta 8080 no roteador, que é recebido pelo proxy da Web local do Mikrotik. O proxy da Web local faz a solicitação da Web em nome do cliente, neste caso, a um servidor proxy da Web principal (que, por sua vez, faz a solicitação real da Web).
Minha pergunta é: como esse processo de duas partes será reportado no registro de informações de fluxo de tráfego (netflow)?
Olhando as informações registradas, o que eu pareço estar vendo é isto:
A solicitação original que o cliente fez para a porta 80 não está registrada.
Eu quero escrever código para analisar o uso do tráfego, por isso quero ter certeza de que não estou perdendo informações se descartar o último deles.
Você pode verificar as URLs passadas nas solicitações HTTP. Se as URLs entre os dois fluxos corresponderem, os fluxos serão apenas duplicados e você poderá simplesmente descartar um deles. O primeiro fluxo é mais significativo para você, como você disse, porque informa o IP do cliente.