Стоит Debain 6.0 с iptables используется сугубо как роутер. Собрал ipt_netflow, добавил правила, все добавилось:
iptables -L -v -n
Chain INPUT (policy ACCEPT 13538 packets, 1315K bytes)
pkts bytes target prot opt in out source destination
23907 2309K NETFLOW all -- * * 0.0.0.0/0 0.0.0.0/0 NETFLOW

Chain FORWARD (policy ACCEPT 397 packets, 16820 bytes)
pkts bytes target prot opt in out source destination
8042M 4070G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
522M 41G ACCEPT all -- eth0 * <скрыто>/24 0.0.0.0/0 ctstate NEW
849 35748 NETFLOW all -- * * 0.0.0.0/0 0.0.0.0/0 NETFLOW

Chain OUTPUT (policy ACCEPT 11575 packets, 1323K bytes)
pkts bytes target prot opt in out source destination
20263 2346K NETFLOW all -- * * 0.0.0.0/0 0.0.0.0/0 NETFLOW

Создал файл в modprobe.d, указал destination 127.0.0.1 9996 порт, tcpdump видит трафик.

Собираю на той же ос с ncapd и читаю с nfdump.

Может у меня руки кривые, но я пробовал:

nfdump -R /var/netflow/ -s record -n 10
nfdump -R /var/netflow/$TODAY -s record -n 10
nfdump -R /var/netflow/$YESTURDAY -s record -n 10

Результаты одни и те же. При этом nfdump показывает максимальный трафик с одного хоста 12000 байт, а snmp показывает, что прошло минимум 30Гб за один день, в чем блин косяк?:(