tcpdump отфильтровывает определенные IP-адреса и определенные порты с этим IP-адресом

Я хочу отфильтровать несколько конкретных IP-адресов и портов с помощью tcpdump.

пример 192.168.1.100 порт 1111
        192.168.1.101 порт 3333

Я знаю tcpdump -i ens192 не хост dst 192.168.1.100 и порт dst 1111 работа на одном айпи. tcpdump -i ens192 не хост dst 192.168.1.100 или 192.168.1.101 и порт dst 1111 или 3333 ищет любую комбинацию.Но как вы указываете .100 только отфильтровывая 1111 и .101 только отфильтровывая 3333

Спасибо!

Скобки — ваш друг. От man pcap-фильтр:

    Примитивы можно комбинировать, используя:

      Заключенная в скобки группа примитивов и операторов.

      Отрицание («!» или «нет»).

      Конкатенация ("&&" или "и").

      Чередование ("||" или "или").

   Отрицание имеет наивысший приоритет. Чередование и конкатенация имеют одинаковый приоритет и ассоциируются слева направо. Обратите внимание, что явный
   и токены, а не сопоставление, теперь требуются для конкатенации.

   Если идентификатор задан без ключевого слова, предполагается самое последнее ключевое слово. Например,
        не хост vs а туз
   сокращение от
        не host vs, а host ace
   что не следует путать с
        нет ( хост против или туз )

Итак, что-то похожее на следующее должно помочь:

'!(хост dst 192.168.1.100 и порт dst 1111) && !(хост dst 192.168.1.101 и порт dst 3333)'

Это предполагает, что вы заботитесь только о пункте назначения в своих примерах.

используйте скобки:

нет ((хост dst 192.168.1.100 и порт dst 1111) или (хост dst 192.168.1.101 и порт dst 3333))