Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 13496 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

8116 packets from Cisco

galpe
Hi,
recently we add a couple of Cisco PIX to our network and now i find a lot of packets blocked AND logged by packet filter.
I think this packets is like an 'heartbeat' between two Cisco (in load bal & falut tol.) but i can't find a good rule to ignore this!!
Anynone can help me to write the rule?
This is a sample from live log....

12:26:56 0.0.0.0 8116 -> 0.0.0.0 8116 UDP 20 44 255  
12:26:56 0.0.0.0 8116 -> 0.0.0.0 8116 UDP 20 44 255  
12:26:56 0.0.0.0 8116 -> 0.0.0.0 8116 UDP 20 40 255  
12:26:56 0.0.0.0 8116 -> 0.0.0.0 8116 UDP 20 44 255  
12:26:57 0.0.0.0 8116 -> 0.0.0.0 8116 UDP 20 44 255  
12:26:57 0.0.0.0 8116 -> 0.0.0.0 8116 UDP 20 44 255  
12:26:57 0.0.0.0 8116 -> 0.0.0.0 8116 UDP 20 44 255  
12:26:57 0.0.0.0 8116 -> 0.0.0.0 8116 UDP 20 40 255  
12:26:57 0.0.0.0 8116 -> 0.0.0.0 8116 UDP 20 44 255  
12:26:58 0.0.0.0 8116 -> 0.0.0.0 8116 UDP 20 44 255  
12:26:58 0.0.0.0 8116 -> 0.0.0.0 8116 UDP 20 40 255  
12:26:58 0.0.0.0 8116 -> 0.0.0.0 8116 UDP 20 44 255  
12:26:58 0.0.0.0 8116 -> 0.0.0.0 8116 UDP 20 44 255  
12:26:58 0.0.0.0 8116 -> 0.0.0.0 8116 UDP 20 44 255  
12:26:59 0.0.0.0 8116 -> 0.0.0.0 8116 UDP 20 44 255  
12:26:59 0.0.0.0 8116 -> 0.0.0.0 8116 UDP 20 40 255  
12:26:59 0.0.0.0 8116 -> 0.0.0.0 8116 UDP 20 44 255  
12:26:59 0.0.0.0 8116 -> 0.0.0.0 8116 UDP 20 44 255

P.S. I tried this rule with no effects... Anomalia-8116 is my definition for that service.

[none]    -  Any  0.0.0.0/0   Anomalia-8116    0.0.0.0/0   Any    [none]


Thanks in advance!!


This thread was automatically locked due to age.
  • 0 in reply to AdrienBelcourt
    Yeah!!! Thanks Everybody (and official support) but this solutions don't work!
    This packets are terrible!!! With any-any my rule go in forward chain (and have no effect) and whit any- the packet doesn't match!!!
    I find a solution with a DNAT rule like:

    Any-Any-8116 ---> DNAT to Any--8116

    The DNAT is apply before packet fileter rules....
    So a packet filter rule like:

    Any--8116 DROP

    will burn this million of packets!!!!
  • 0 in reply to galpe
    Nice one.  Thanks for the solution share. Interesting you have to DNAT them to catch them in the packet filter.
  • 0 in reply to AdrienBelcourt
    You shouldn't need to NAT them.

    You need to drop the 8116 packets for the following:
    INT ASL IP
    INT Broadcast (x.x.x.255 or whatever)
    Global Broadcast (if needed)
    INT Network address  (x.x.x.0 or whatever) (if there's traffic on that addr)

    That should do it; if not, then it sounds like a bug.

    Barry