Настройка классов трафика

[Nast]

Передо мной стоит следующая задача. Имеется Linux-сервер, который является роутером, на нем стоят две сетевые карты, одна смотрит в инет (lan1), другая на клиентские машины (lan2). На сервере стоит ndsad.
Необходимо настроить классы трафика чтобы считался инет для каждого из клиентов. На первый взгляд задача проста. Создаются три класса трафика: входящий (который исходит из lan2 в клиентскую сеть), исходящий (соответственно наоборот - исходит из клиентской сети на ip-адрес lan2) и локальный (из клиентской сети - в клиентскую сеть).
В принципе этого достаточно, но сервер является не только роутером - на нем еще находится несколько сетевых служб ftp, apache и т.д. Таким образом получается, что когда пользователь скачивает файл по ftp - ему это считается как inet-трафик (по приведенной выше классификации), а хотелось бы чтобы этот трафик все-таки был локальным (так как эти пакеты не постпают из инета)
Как это сделать? Как настроить классы трафика, чтобы входящим для клиентов считался только трафик поступающий из lan1 -> lan2 -> клиенты, а не весь трафик из lan2->клиенты?

[dalex]

добавить в локальный трафик из сети на рутер и обратно

[Chris]

В классы занести внешнюю сеть, которая будет авторизовавыться как внутренний трафик - остальное внешний.

[Nast]

Если можно поподробнее.
Дело еще в том, что на сервере стоит NAT и если я ставлю ndsad снимать статистику с внешнего интерфейса, то не получаю ничего интересного, так как он отражает только этот внешний ip-адрес интерфейса (клиентские ip там не отражаются), нужно вот именно сделать, чтобы inet-трафиком считался только тот, что идет из внешнего интерфейса на внутренний и при этом регистрировать ip-адреса назначения. Если я правильно понимаю, то ndsad может цепляться только к конкретному интерфейсу, т.е. он не может отслеживать такие потоки данных? Делать сборщиком iptables не хочется, хотелось бы настроить это стандартными средствами UTM5. Подскажить как быть?