Назад | Перейти на главную страницу

Почему "ether proto \ ip host host" не является законным выражением tcpdump?

В описании допустимых выражений tcpdump на страницах руководства pcap-filter указано:

Выражение фильтра состоит из одного или нескольких примитивов. Примитивы обычно состоят из идентификатора (имени или числа), которому предшествует один или несколько квалификаторов.

В свою очередь, эти квалификаторы type, dir и proto. Пока все хорошо, но ниже мы находим следующее:

     ip host host
which is equivalent to:
     ether proto \ip and host host

В первом случае ip и host являются, соответственно, proto и type. Какой узор ether proto \ip следовать? Разве это не в целом proto квалификатор? Если да, то почему нет (правильно экранированный) 'ether proto \ip host host'юридический (нет and)?

В ether proto \ip «\ ip» - это идентификатор. Который ether proto \ip означает то же самое, что и ip на уровне содержания не означает, что оба должны быть синтаксически эквивалентными.