vyattaでtcpdumpのようなことが可能。
eth1に着信したpacketを見る
monitor interfaces ethernet eth1 traffic「172.195.57.201」にマッチという条件でフィルタ
monitor interfaces ethernet eth1 traffic | match '172.195.57.201'tcpdump
普通にtcpdumpも使える。
例えば、IPアドレス「192.168.1.23」と「TCPポート25番」という条件でフィルタしてパケットキャプチャするなら以下。
「-X」オプションでパケットのヘッダ部分以外も含めてキャプチャする。ヘッダ部のみでよければ「-X」オプションを付与しなくてOK。
sudo su
tcpdump host 192.168.1.23 and \(src or dst port 25\) -Xキャプチャ結果を外部ファイルとして出力するには「-w」オプションを使う。
以下はNIC「eth1」でキャプチャしたものをカレントディレクトリに「201609091508.pcap」として出力する例。
tcpdump -i eth1 -X -w ./201609091508.pcap