Самый быстрый способ понять, что происходит в сети — tcpdump прямо на сервере.
# слушать на всех интерфейсах, без резолва имён
tcpdump -i any -n
# только HTTP (порт 80) от конкретного хоста
tcpdump -i eth0 -n host 192.168.1.10 and port 80
# захватить 100 пакетов и выйти
tcpdump -i any -n -c 100
BPF-фильтры: host, net, port, src, dst, логика and/or/not.
# всё кроме SSH
tcpdump -i any not port 22
# захват в файл для анализа позже
tcpdump -i eth0 -w /tmp/capture.pcap
# прочитать файл
tcpdump -r /tmp/capture.pcap -n
Pipe в Wireshark с удалённого сервера:
ssh user@server "tcpdump -i eth0 -w - -U" | wireshark -k -i -
-U сбрасывает буфер после каждого пакета — иначе Wireshark будет ждать заполнения буфера.
#linux #сеть #tcpdump #отладка #sysadmin