IPS不用添加service帐号进入linux使得管理主机能访问的方法

一.概述：

今天在听yeslab秦珂老师的IPS视频，讲到曾经考到IPS的service帐号的情形，利用IPS的service帐号进入IPS的linux操作系统添加主机路由的情形，觉得不用进入IPS的linux操作系统也能解决，如下进行测试验证了一下，实际可行。

----后来又仔细听了第二次视频，貌似是因为早期的PIX是不支持端口反射的，即流量从同一端口进，又从同一端口出。

----如果确实是因为早期PIX不支持端口反射的话，那样通过修改IPS的网关指向，指向路由器，路由器进行icmp重定向，应该也能实现IPS能访问两个网段，一个PIX身后的，一个R1身后。

二.基本思路：A.通过路由添加主机arp条目的方法使得PC去的流量走防火墙的Inside口B.IPS的默认网关是防火墙的Inside接口C.防火墙开启相同接口允许流量访问三.测试拓扑： 四.基本配置：A.IDS配置：①管理口ip为192.168.1.2 ，默认网关为192.168.1.1②信任主机为：192.168.1.0/24，192.168.2.0/24B.FW2配置：interface Ethernet0
nameif Inside
security-level 100
ip address 192.168.1.1 255.255.255.0 no shutroute inside 192.168.2.0 255.255.255.0 192.168.1.10C.R1配置：interface FastEthernet0/0 ip address 192.168.1.10 255.255.255.0
no shutinterface FastEthernet0/1
ip address 192.168.2.10 255.255.255.0 no shutD.PC配置：IP为192.168.2.8，默认网关为192.168.2.10五.实现PC能网关IDS的方法：A.使得PC网管IDS的流量来回都经过防火墙：①R1上面添加主机路由或arp静态条目:ip route 192.168.1.2 255.255.255.255 192.168.1.1或arp 192.168.1.2 00aa.005a.df00 ARPA②防火墙允许相同接口流量访问：same-security-traffic permit intra-interfaceB.使得PC网管IDS的流量来回都不经过防火墙：-----在IDS的linux操作系统上面添加主机路由A.IDS上面添加server帐号：IDS命令行： （config）username xll privilege service password 1234qwerB.重新以新建的帐号登录IDS，并且su - root用户：---root帐号密码与新建的帐号的密码相同

# route add –host 192.168.2.8 gw 192.168.168.1.10

---重启路由会丢失，在系统中没有找到/etc/rc.local文件

阅读更多