Tcpdump действует перед iptables для входящего трафика, но вы можете использовать расширение iptables «NFLOG» для достижения своей цели: http://ipset.netfilter.org/iptables-extensions.man.html#lbDI
Используя назначение «NFLOG», вы можете регистрировать нужные пакеты в приложении пользовательского пространства, и именно этому принадлежит tcpdump (вы также можете назначить трафик определенной группе, а затем указать tcpdump прослушивать ее).
Пример веб-сервера (очень простой), давайте представим, что вы принимаете трафик http/https и отбрасываете ssh:
#BASIC RULES
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
#NFLOG REDIRECT ONLY HTTP TRAFFIC
iptables -A INPUT -p tcp --dport 80 -j NFLOG
#TCPDUMP ONLY ON MATCHED TRAFFIC (=HTTP)
tcpdump -i nflog