Обычный формат pcap, используемый tcpdump, не содержит информации об имени интерфейса, где был захвачен пакет. Формат pcapng, используемый tshark или wireshark по умолчанию, содержит эту информацию. С помощью pcapng можно применить фильтр отображения следующим образом:
tshark -r file.pcapng -Y 'frame.interface_name == "wan0"'
Конечно, это имеет смысл, только если файл pcapng содержит пакеты, захваченные на нескольких интерфейсах. В противном случае этот фильтр просто приведет к отсутствию пакетов или всех пакетов. В частности, это не поможет перехватить на псевдо-интерфейсе any, поскольку pcapng не будет содержать имен различных интерфейсов в системе, а просто покажет все пакеты, захваченные на одном псевдо-интерфейсе any.