Tcpdump su più interfacce

Devo acquisire il traffico su un server CentOS 5 che funge da proxy Web con 2 interfacce wan e 1 LAN. Al fine di risolvere uno strano problema proxy, vorrei avere una cattura di una conversazione completa. Poiché le connessioni esterne sono bilanciate tra le due interfacce WAN, mi chiedo se sia possibile catturare contemporaneamente su tutte le interfacce.

Ho usato tcpdump in precedenza ma ammette solo un'interfaccia alla volta. Posso avviare 3 processi paralleli per catturare su tutte le interfacce ma poi finisco con 3 diversi file di acquisizione.

Qual è il modo giusto di farlo?

Secondo la pagina man di tcpdump:

Sui sistemi Linux con kernel 2.2 o successivi, è possibile utilizzare un argomento dell'interfaccia di "qualsiasi" per acquisire pacchetti da tutte le interfacce. Si noti che le acquisizioni sul dispositivo "qualsiasi" non verranno eseguite in modalità promiscua.

Quindi dovresti essere in grado di eseguire: tcpdump -i anyal fine di acquisire i dati su tutte le interfacce contemporaneamente in un singolo file di acquisizione.

Il modo in cui mi avvicinerei a questo è scaricare su ogni interfaccia in un file separato e poi unirle. L'interfaccia di qualsiasi include anche il traffico che può inquinare la cattura.

Ciò consente anche di analizzare i flussi di pacchetti per interfaccia senza un filtro complesso.

Vorrei catturare in 3 terminali o eseguendo il background del comando con &

Il flag -nn disattiva la risoluzione dns per la velocità, -s 0 salva il pacchetto completo e -w scrive su un file.

tcpdump -i wan0 -nn -s 0 -w wan0.dump
tcpdump -i wan1 -nn -s 0 -w wan1.dump
tcpdump -i lan0 -nn -s 0 -w lan0.dump

Vorrei quindi unire i file con il comando mergecap da WireShark:

mergecap -w merged.dump wan0.dump wan1.dump lan0.dump

Per catturare un tcpdump su tutte le interfacce usare

tcpdump -i any