Sim, como você percebeu, a saída de texto do tcpdump está passando por sua conexão ssh com o host do qual você se conectou à máquina na qual você está executando o tcpdump e, portanto, é capturado pelo tcpdump. Com -w
, o tcpdump não imprime nada por pacote, portanto, ele não é transmitido (a menos que você esteja salvando a captura em um arquivo em um sistema de arquivos montado em um servidor de arquivos, como um NFS ou SMB). ou servidor AFP).
Wireshark e TShark tentam detectar que você está executando o Wireshark sobre o X11 ou o TShark sobre o ssh e, se estiver, ajusta o filtro de captura para filtrar o tráfego do X11 ou ssh para o host do qual você está executando eles. Para o tcpdump, você pode querer usar um filtro como
not (host {host from which you're sshing} and port ssh)
ou, se você já estiver usando um filtro, E esse filtro com o que você está usando, para filtrar seu tráfego SSH.