На роутере стоит AspLinux 10.  Для учета трафика постален ipcad, генерирующий поток netflow 5. В качестве анализатора стоит Netflow Analyzer 4. В системе около 20 интерфейсов 3 физических остальные виртуальные.
В анализаторе вижу по каждому интерфейсу почему-то только трафик IN. и есть один интерфейс обозначенный как IfIndex65535 (snmp не поднят), у которого только только OUT.
При сравнении со статистикой от прова отличие в 1-3% если взять по нужному интерфейсу все что в IN (а другого и нет у интерфейса) и сложить две цифры: 1) объем трафика где src_ip моя ипка 2)где dst_ip моя ипка.

Вопросы:
1) Почему нет OUT - это особенность генерации потока ipcad-ом?
2) Во входящем трафике может src_ip быть моей ипкой (провом тарифицируется только входящий трафик)?  
3) Какой объем входящего smtp трафика реален у меня в день выходит около 100 MB, для сравнения pop 205 Mb.