一.概述:
今天在听yeslab秦珂老师的IPS视频,讲到曾经考到IPS的service帐号的情形,利用IPS的service帐号进入IPS的linux操作系统添加主机路由的情形,觉得不用进入IPS的linux操作系统也能解决,如下进行测试验证了一下,实际可行。
----后来又仔细听了第二次视频,貌似是因为早期的PIX是不支持端口反射的,即流量从同一端口进,又从同一端口出。
----如果确实是因为早期PIX不支持端口反射的话,那样通过修改IPS的网关指向,指向路由器,路由器进行icmp重定向,应该也能实现IPS能访问两个网段,一个PIX身后的,一个R1身后。
二.基本思路:
A.通过路由添加主机arp条目的方法使得PC去的流量走防火墙的Inside口
B.IPS的默认网关是防火墙的Inside接口
C.防火墙开启相同接口允许流量访问
三.测试拓扑:
spacer.gif230301113.jpg
四.基本配置:
A.IDS配置:
①管理口ip为192.168.1.2 ,默认网关为192.168.1.1
②信任主机为:192.168.1.0/24,192.168.2.0/24
B.FW2配置:
interface Ethernet0
nameif Inside
security-level 100
ip address 192.168.1.1 255.255.255.0
no shut
route inside 192.168.2.0 255.255.255.0 192.168.1.10
C.R1配置:
interface FastEthernet0/0
ip address 192.168.1.10 255.255.255.0
interface FastEthernet0/1
ip address 192.168.2.10 255.255.255.0
D.PC配置:
IP为192.168.2.8,默认网关为192.168.2.10
五.实现PC能网关IDS的方法:
A.使得PC网管IDS的流量来回都经过防火墙:
①R1上面添加主机路由或arp静态条目:
ip route 192.168.1.2 255.255.255.255 192.168.1.1
或
arp 192.168.1.2 00aa.005a.df00 ARPA
②防火墙允许相同接口流量访问:
same-security-traffic permit intra-interface
B.使得PC网管IDS的流量来回都不经过防火墙:
-----在IDS的linux操作系统上面添加主机路由
A.IDS上面添加server帐号:
IDS命令行: (config)username xll privilege service password 1234qwer
B.重新以新建的帐号登录IDS,并且su - root用户:
---root帐号密码与新建的帐号的密码相同
# route add –host 192.168.2.8 gw 192.168.168.1.10
---重启路由会丢失,在系统中没有找到/etc/rc.local文件
本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/1316013,如需转载请自行联系原作者
![linux-svn卸载与安装[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)