tcpdump filtrează IP-uri specifice și porturi specifice cu acel ip

Vreau să filtrez mai multe ip-uri și porturi specifice cu tcpdump.

exemplu 192.168.1.100 portul 1111
        192.168.1.101 portul 3333

Știu tcpdump -i ens192 nu gazda dst 192.168.1.100 și portul dst 1111 lucrează pentru un singur ip. tcpdump -i ens192 nu dst host 192.168.1.100 sau 192.168.1.101 și dst port port 1111 sau 3333 caută orice combinație.Dar cum specificați .100 doar eliminând 1111 și .101 eliminând doar 3333

Mulțumiri!

Parantezele sunt prietenul tău. Din man pcap-filter:

    Primitivele pot fi combinate folosind:

      Un grup între paranteze de primitive și operatori.

      Negație (`!' sau `nu').

      Concatenare (`&&' sau `și').

      Alternare (`||' sau `sau').

   Negația are cea mai mare prioritate. Alternarea și concatenarea au prioritate egală și se asociază de la stânga la dreapta. Rețineți că explicit
   iar jetoanele, nu juxtapunerea, sunt acum necesare pentru concatenare.

   Dacă un identificator este dat fără un cuvânt cheie, se presupune cel mai recent cuvânt cheie. De exemplu,
        nu gazdă vs și as
   este prescurtarea pentru
        nu gazdă vs și gazdă as
   cu care nu trebuie confundat
        nu (gazdă vs sau as)

Deci, ceva similar cu următorul ar trebui să facă truc:

'!(dst gazdă 192.168.1.100 și dst portul 1111) && !(dst host 192.168.1.101 și dst portul 3333)'

Asta presupunând că ești preocupat doar de destinație în exemplele tale.

foloseste paranteza:

nu ((dst host 192.168.1.100 și dst port 1111) sau (dst host 192.168.1.101 și dst port 3333))