一.概述:
今天在聽yeslab秦珂老師的IPS視訊,講到曾經考到IPS的service帳号的情形,利用IPS的service帳号進入IPS的linux作業系統添加主機路由的情形,覺得不用進入IPS的linux作業系統也能解決,如下進行測試驗證了一下,實際可行。
----後來又仔細聽了第二次視訊,貌似是因為早期的PIX是不支援端口反射的,即流量從同一端口進,又從同一端口出。
----如果确實是因為早期PIX不支援端口反射的話,那樣通過修改IPS的網關指向,指向路由器,路由器進行icmp重定向,應該也能實作IPS能通路兩個網段,一個PIX身後的,一個R1身後。
二.基本思路:
A.通過路由添加主機arp條目的方法使得PC去的流量走防火牆的Inside口
B.IPS的預設網關是防火牆的Inside接口
C.防火牆開啟相同接口允許流量通路
三.測試拓撲:
spacer.gif230301113.jpg
四.基本配置:
A.IDS配置:
①管理口ip為192.168.1.2 ,預設網關為192.168.1.1
②信任主機為:192.168.1.0/24,192.168.2.0/24
B.FW2配置:
interface Ethernet0
nameif Inside
security-level 100
ip address 192.168.1.1 255.255.255.0
no shut
route inside 192.168.2.0 255.255.255.0 192.168.1.10
C.R1配置:
interface FastEthernet0/0
ip address 192.168.1.10 255.255.255.0
interface FastEthernet0/1
ip address 192.168.2.10 255.255.255.0
D.PC配置:
IP為192.168.2.8,預設網關為192.168.2.10
五.實作PC能網關IDS的方法:
A.使得PC網管IDS的流量來回都經過防火牆:
①R1上面添加主機路由或arp靜态條目:
ip route 192.168.1.2 255.255.255.255 192.168.1.1
或
arp 192.168.1.2 00aa.005a.df00 ARPA
②防火牆允許相同接口流量通路:
same-security-traffic permit intra-interface
B.使得PC網管IDS的流量來回都不經過防火牆:
-----在IDS的linux作業系統上面添加主機路由
A.IDS上面添加server帳号:
IDS指令行: (config)username xll privilege service password 1234qwer
B.重新以建立的帳号登入IDS,并且su - root使用者:
---root帳号密碼與建立的帳号的密碼相同
# route add –host 192.168.2.8 gw 192.168.168.1.10
---重新開機路由會丢失,在系統中沒有找到/etc/rc.local檔案
本文轉自 碧雲天 51CTO部落格,原文連結:http://blog.51cto.com/333234/1316013,如需轉載請自行聯系原作者
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)