MENU

默认配置下绕过VMware NSX-T分布式防火墙 (DFW)

March 27, 2020 • 安全阅读设置

前言

NSX-T DFW功能经常用来限制虚拟机之间的网络流量

可以通过更改VM IP的方式来绕过DFW限制

环境

  • VM-1 IP地址为192.168.42.10
  • VM-2 IP地址为192.168.42.11

nsxt_realized_binding.png

nsxt_create_group.png

FufeOWHJqFi5sQNkRLgbrlrks9Ri.png

创建一个防火墙规则限制两个VM间的流量,互相无法Ping通

Fm3kqcpZwKWgoYM7iS-E2nUDtOLZ.png

PoC

VM-1的IP地址为192.168.42.10,Ubuntu下通过编辑/etc/network/interfaces将其更改为其他IP,例如这里改为192.168.42.42,然后重新加载网络配置即可

Fv_WlAQU4TqY7vsb7KJUSvq73lfw.png

Fqggc5TQX6lyjqH49q7i6lmxbG0g.png

提示

VMware NSX-T分布式防火墙 (DFW)需要在交换机上启用了SpoofGuard功能的情况下才有效

nsxt_enable_spoofguard.png

nsxt_dfw_allow_ICMP-768x120.png

nsxt_ping_not_working_2.png