Você pode analisar a segunda parte desse filtro assim
not ( (src and dest) net localnet )
É uma abreviação para
not src net localnet and not dest net localnet
Lendo a página de manual de tcpdump , encontrei este exemplo
tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'
mas eu não entendo, especialmente a última parte.
A parte tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 filtra todos os pacotes com o bit SYN ou FIN definido.
O que o not src and dst net localnet filtra?
A explicação na mesma manpage diz
To print the start and end packets (the SYN and FIN packets) of each TCP conversation that involves a non-local host.
mas, na minha opinião, src não é uma expressão por si só.