Tcpdump на декількох інтерфейсах

Мені потрібно зафіксувати трафік на сервері CentOS 5, який діє як веб-проксі з 2-ма інтерфейсами та 1 локальною мережею. Щоб вирішити дивну проблему з проксі, я хотів би отримати повну розмову. Оскільки зовнішні з'єднання врівноважені між двома інтерфейсами WAN, мені цікаво, чи можливо одночасне захоплення всіх інтерфейсів.

Раніше я використовував tcpdump, але він допускає лише один інтерфейс за один раз. Я можу запустити 3 паралельних процесу для зйомки на всіх інтерфейсах, але тоді я закінчую 3 різними файлами захоплення.

Який правильний спосіб зробити це?

Відповідно до сторінки man tcpdump:

У системах Linux з ядрами 2.2 або пізніших версій інтерфейс '' будь-який '' може бути використаний для збору пакетів з усіх інтерфейсів. Зауважте, що захоплення на пристрої "будь-який" не буде здійснюватися в розбещеному режимі.

Отже, ви повинні мати можливість запускати: tcpdump -i anyдля того, щоб одночасно захоплювати дані про всі інтерфейси в один файл захоплення.

Як я підійшов би до цього, це скинути кожен інтерфейс на окремий файл і потім об'єднати їх. Будь-який інтерфейс також включає lo-трафік, який може забруднити захоплення.

Це також дозволяє проаналізувати потоки пакетів на один інтерфейс без складної фільтрації.

Я б захопив у 3 термінали або перетворив команду на &

Прапори -nn вимикають роздільну здатність dns для швидкості, -s 0 зберігає повний пакет і -w записує у файл.

tcpdump -i wan0 -nn -s 0 -w wan0.dump
tcpdump -i wan1 -nn -s 0 -w wan1.dump
tcpdump -i lan0 -nn -s 0 -w lan0.dump

Потім я б об'єднав файли з командою mergecap від wireshark:

mergecap -w merged.dump wan0.dump wan1.dump lan0.dump

Для зйомки tcpdump використовуйте всі інтерфейси

tcpdump -i any