Есть порт  в мироре  туда  валится куча трафа, сервер под Debian , надо составить выражение примерно такое:
tcpdump -i eth1  \( vlan 1 and host 10.0.1.1 \) or \( vlan 2 and host 10.0.2.2 \) or \( vlan 3 and host  10.0.3.7\)

всегда  работает только первое  выражение (:
то есть то что приведено выше  показывает только host  10.0.0.1 во vlan 1.
Как  это написать...  ( нужно наложить  несколько или  фильтров  с или)
P.S  крайне вероятно что у меня зацилились  мозги

• TCPDUMP трафика  из двух влан  помогите  конструкцией(: ,sp_, 11:19 , 05-Авг-11
  • TCPDUMP трафика  из двух влан  помогите  конструкцией(: ,nikos, 12:38 , 05-Авг-11

>[оверквотинг удален]
> под Debian , надо составить выражение примерно такое:
> tcpdump -i eth1  \( vlan 1 and host 10.0.1.1 \) or
> \( vlan 2 and host 10.0.2.2 \) or \( vlan 3
> and host  10.0.3.7\)
> всегда  работает только первое  выражение (:
>  то есть то что приведено выше  показывает только host  
> 10.0.0.1 во vlan 1.
> Как  это написать...  ( нужно наложить  несколько или  
> фильтров  с или)
> P.S  крайне вероятно что у меня зацилились  мозги

tcpdump -i eth1 "vlan and ((ether[14:2] & 0xfff == 1 and host 10.0.1.1) or (ether[14:2] & 0xfff == 2 and host 10.0.2.2) or (ether[14:2] & 0xfff == 3 and host 10.0.3.7))"

> tcpdump -i eth1 "vlan and ((ether[14:2] & 0xfff == 1 and host
> 10.0.1.1) or (ether[14:2] & 0xfff == 2 and host 10.0.2.2) or
> (ether[14:2] & 0xfff == 3 and host 10.0.3.7))"

сенкс, оно, я, при чтении мана, не понял того  что  vlan  всегда (а не только для  текущей конструкции содержащей vlan )  сдвинет маркер разбора.