0x01 前言
有时候在测试开源IDS和IPS软件的时候需要模拟一整套网络环境,而这套环境又需要一个软路由,所以我一直用虚拟化的内联口通过配置vlan实现相互连接。另外需要通过其他虚拟机向目标网络发送恶意数据包,而这则需要用到策略路由来避免误伤到生产环境的网络。
这篇文章里的所有网络设备都是虚拟的,尽可能降低不必要的支出。
0x02 VLAN与端口配置
简单的架构图如上,首先要配置分布式端口组,也就是DGP。因为我生产环境的pfSense不能停机,所以通过vlan创建出一个WAN接口。默认情况下,DGP都是处于vlan中继的模式,而这里需要指定vlan id:
这类似给access口配置特定的vlan id,而中继则类似trunk。上图中的配置是提供给pfSense(测试)接入使用的,因为这个pfSense可以随意关机和调整,为了方便,直接改动端口的vlan id即可。
生产环境则需要使用中继模式,然后在Interfaces / VLANs中配置:
紧接着来到Interfaces / Interface Assignments界面添加端口即可:
在配置端口信息之前需要来到System / Routing / Gateways添加一个网关,网关IP为pfSense(测试)的LAN口IP:
然后再回到端口的配置界面,填入相关信息并选择刚刚创建的网关:
至此,应该可以通过生产环境直接访问测试环境的pfSense,而测试环境需要访问公网的话,还需要接入到生产环境的LAN口,如本章节开头的架构图所示。
0x03 策略路由
因为测试需要模拟的设备较多,经常会出现需要添加一大堆IP的情况,所以在配置策略路由之前先配置别名,来到Firewall / Aliases / Edit按需添加即可:
然后来到Firewall / Rules创建一个规则:
按需配置基本信息,其中Destination可以配置反向策略,将内网或者某些特定的IP段剔除。
最后来到页面底部选择刚才创建的网关
最终保存即可,结果如下:
0x04 结语
都是虚拟化的,可以模拟很多常见的网络环境,而pfSense也足够强大,完全可以替代办公网络的路由器。