Se você tiver alguma maquina virtual que fará usará IDS, como por exemplo o Snort, você precisará colocar a interface na qual você pretende ouvir os pacotes em modo promisc.

Para realizar tal procedimento faça o seguinte no dom0.

brctl setageing xenbr0 0

Onde xenbr0 é a interface a qual você pretende snifar.

Isso pode ser feito ‘a quente’ sem precisar restartar o dom0 nem os domU´s
Abraços