Różnice między sieciami pomostowymi a NAT

Nie do końca rozumiem różnice między NAT a połączeniem zmostkowanym przez maszynę wirtualną. O ile znalazłem, maszyny, które są w tej samej sieci z naszą maszyną hosta, mogą uzyskać dostęp do naszej maszyny wirtualnej, jeśli wykonamy połączenie mostkowe.

Cóż, w Internecie ludzie piszą, że zarówno NAT, jak i zmostkowane maszyny wirtualne mogą mieć adres IP jak maszyna hosta, ale jeśli jest to NAT, maszyny, które są w tej samej sieci NIE mogą uzyskać dostępu do naszej maszyny wirtualnej, ale jeśli są zmostkowane, mogą .

Jeśli zarówno NAT, jak i zmostkowane połączenia mogą mieć różne adresy IP, to dlaczego nie mogę uzyskać dostępu do adresu NAT, skoro mogę uzyskać dostęp do zmostkowanego adresu?

Uwaga: stwierdzenie, że połączenia NAT są chronione, jest niewystarczające; Chcę wiedzieć, jak to jest.

Jak działa NAT w pigułce

Adres zewnętrzny, zwykle routowalny, jest „poza” NAT. Maszyny za NAT mają adres „wewnętrzny”, który zwykle nie jest routowalny . Kiedy zostanie nawiązane połączenie między adresem wewnętrznym a adresem zewnętrznym, system NAT w środku tworzy pozycję tablicy przesyłania składającą się z (outside_ip, outside_port, nat_host_ip, nat_host_port, inside_ip, inside_port). Każdy pakiet pasujący do czterech pierwszych części zostaje ponownie zapisany w dwóch ostatnich częściach.

Jeśli odebrany zostanie pakiet, który nie pasuje do pozycji w tabeli NAT, pole NAT nie może wiedzieć, gdzie go przekazać, chyba że reguła przekazywania została zdefiniowana ręcznie. Dlatego domyślnie maszyna za urządzeniem NAT jest „chroniona”.

Bridged

Tryb zmostkowany działa tak, jak interfejs, z którym mostkujesz, jest teraz przełącznikiem, a maszyna wirtualna jest podłączona do portu na nim. Wszystko działa tak samo, jakby to była kolejna zwykła maszyna podłączona do tej sieci.

Dzięki NAT adresy IP maszyn wirtualnych i sieć, z którą łączy się host, są rozdzielone. Oznacza to, że Twoje maszyny wirtualne znajdują się w innej podsieci. Możesz uzyskać dostęp do sieci, ponieważ Twój host dokonuje translacji adresów sieciowych (jeśli nie wiesz, co to jest ścisły, umiarkowany i otwarty NAT? ). Adres IP jest przypisywany przez DHCP działający na hoście

Dzięki mostkowemu interfejsowi maszyny wirtualne są bezpośrednio podłączone do sieci, do której podłączony jest interfejs sieciowy, z którego korzystają. Oznacza to, że w twoim przypadku będą one bezpośrednio podłączone do sieci, z którą łączy się twój host, uzyskując adresy IP z serwera DHCP działającego w sieci (co prawdopodobnie również daje twojemu hostowi jego adres IP).

Dlaczego nie możesz uzyskać dostępu do tych maszyn:

Ponieważ musisz włączyć przekazywanie portów w segmencie NAT. NAT tłumaczy adresy IP maszyn wirtualnych na pojedyncze adresy IP. Połączenia przychodzące muszą być kierowane z przekazywaniem portów, ponieważ host nie może wiedzieć, dla jakiej maszyny wirtualnej jest to połączenie.

Chociaż NAT może zapewnić pewną ochronę, nie jest to zapora ogniowa, z tego samego powodu, co powyżej (podczas korzystania z NAT, hosty przychodzące nie mogą się połączyć, dopóki nie jest włączone przekazywanie portów). Jednak NAT NIE JEST BEZPIECZEŃSTWEM ( http://blog.ioshints.info/2011/12/is-nat-security-feature.html ).

NAT ma pewne skutki uboczne, które przypominają mechanizmy bezpieczeństwa powszechnie stosowane na brzegu sieci. To NIE czyni go funkcją bezpieczeństwa, tym bardziej, że istnieje tak wiele wariantów NAT.

Połączenia mostkiem są po prostu, że w zasadzie wirtualny przełącznik jest podłączony pomiędzy VM i fizycznego połączenia sieciowego.

Połączenia NAT są również takie, że zamiast przełącznika router NAT znajduje się między maszyną wirtualną a fizycznym połączeniem sieciowym.

Przy połączeniu NAT komputer hosta (twoja podstawowa, fizyczna maszyna) działa jak router / zapora ogniowa. Wirtualne maszyny wirtualne z interfejsu sieciowego hosta i wszystkie pakiety do / z maszyny wirtualnej są przez nią przekierowywane. Ponieważ komputer hosta faktycznie widzi pakiety IP i datagramy TCP, może filtrować lub w inny sposób wpływać na ruch.

Gdy maszyna wirtualna używa trybu zmostkowanego, łączy się z siecią za pośrednictwem hosta na niższym poziomie (warstwa 2 modelu OSI). Komputer host nadal widzi ruch, ale tylko na poziomie ramki Ethernet. Dlatego nie jest w stanie zobaczyć, skąd przychodzi / dojeżdża ruch ani jakie dane są w nim zawarte.