><span>> In my case, the backups server calls rsync to backup the LAN machines<br>
>> (concurrently).  The rsync daemon is not used anywhere.<br>><br>
> Can you provide more information about what the actual traffic flows<br>
look like?  Perhaps some example traffic flows?<br><br>
> Would it help to simplify the BPF by removing "src"?  So something like this?<br><br>> not(tcp host 192.168.1.4 and tcp port 8027)<br><br>Not sure the best way to get this traffic?  <br><br>Part of the problem is I don't want to fill up my SO disk with backup traffic, but maybe I can run a ptial backup for a short time.<br><br></span>