В таком виде всё должно быть ок, но желательно не полениться и проверить, например, запустив tcpdump с этим фильтром и посмотреть на результат. Так же посмотрите логи ndsad при старте - должен писать, что применяет этот фильтр на интерфейс.
Vovik писал(а):а фильтры на семейство интерфейсов (vlan,tun) когда предвидятся?
пока не предвидятся, но проект open source - можно и сделать если есть желание и возможности
Проще использовать tee/divert для сбора с семейств интерфейсов (в ipfw можно указывать via tun*) и если нужны фильтры. Фильтры в шpfw по гибкости не уступают тем, что в libpcap.
