Просмотр трафика, проходящего через машину NAT

Недавно меня назначили ответственным за кластер высокопроизводительных вычислений, а последний администратор не очень хорошо документировал все. Мы получили уведомление от нашей группы ИТ-безопасности о том, что наш головной узел довольно регулярно обращается к отрывочному сайту с бесплатными программами, и мы должны это проверить. Наш головной узел - это NAT для остальной части кластера, поэтому я предполагаю, что трафик на самом деле исходит не от головного узла, а с какой-то другой машины, которая общается через наш головной узел. Я запустил tcpdump -vvvv -A ' host [headnode ext IP] 'на нашем головном узле на некоторое время, чтобы перехватить пакеты, идущие на сайт бесплатного программного обеспечения и с него, но это не говорит мне, какая машина на самом деле делает эти запросы. Может ли кто-нибудь дать мне команду для запуска (или, вероятно, флаг tcpdump, который мне не хватает), который скажет мне фактический хост, который отправляет запросы на этот сайт?