Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 5278 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS logs growing growing growing... can't stop it.

SalishSwede
I'm  attempting to stop the following rule from filling my IPS logs.

"id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="reject" reason="PROTOCOL-ICMP Unusual PING detected" group="410" srcip="10.1.0.7" dstip="10.1.1.2" proto="1" srcport="0" dstport="0" sid="29456" class="Information Leak" priority="2" generator="1" msgid="0" "

I need this traffic stopped but I don't want to see 400,000 iterations of the alert every single day.

My process:
1. In Network Protection > Intrusion Prevention > Advanced > Modify Rules I have added a modification for 29456 to disable notification and to drop.

Can someone please show me the error of my ways?

Thanks,

~D


This thread was automatically locked due to age.
Parents
  • 0
    Doug, the lines from the Firewall log show a default drop out of the INPUT chain (60001).  This means that your firewall rule needs to be changed: in 'Destinations', replace the host definition you're using with "Internal (Address)."

    If you want to go back to all the same settings you had before, use a DNAT instead and send the ping traffic from the Hopper to a non-existent IP in your local subnet.  You might ask Dish if this is a malfunction.

    See #2 and #4 in Rulz for a better understanding.

    Cheers - Bob
  • 0 in reply to BAlfson
    Doug, the lines from the Firewall log show a default drop out of the INPUT chain (60001).  This means that your firewall rule needs to be changed: in 'Destinations', replace the host definition you're using with "Internal (Address)."


    Thanks,
    I assumed that ANY would have covered a specific address, but I'll try it.
Reply
  • 0 in reply to BAlfson
    Doug, the lines from the Firewall log show a default drop out of the INPUT chain (60001).  This means that your firewall rule needs to be changed: in 'Destinations', replace the host definition you're using with "Internal (Address)."


    Thanks,
    I assumed that ANY would have covered a specific address, but I'll try it.
Children
No Data