Привет, Лор! На debian 8 есть два сетевых интерфейса, один из них eth1 - promisc mode. На него идет трафик со спан порта циско свича.
Тз следующее - если в локалке есть пакеты которые ходят на или из айпишника который содержиться в ipset списке - я iptablesом логирую это дело.
Так вот, когда я tcpdump запускаю на eth1 вижу все пакеты. iptables - ничего не видит.
Я поднял сетевой мост, создав еще один виртуальный сетевой интерфейс и у меня получился br0 в котором eth1 и новосозданый виртуальный сетевой интерфейс. br0 поставил тоже promisc.
И теперь у меня логируються только пакеты которые идут НА айпишник который содержиться у меня в ipset листе. Пакеты которые идут с этого же айпишника - мимо моих логов.
Вообщем, если кто подскажет как можно ловить и их - я буду безумно благодарен и дай вам боженька аптаймов и стабильности.