Відмінності між мостовими та NAT-мережами

Я не повністю розумію відмінності між NAT і мостовим з'єднанням над віртуальною машиною. Наскільки я виявив, машини, які знаходяться в одній мережі з нашою хост-машиною, можуть отримати доступ до нашої віртуальної машини, якщо ми встановимо мостове з'єднання.

Ну, в Інтернеті люди пишуть, що і NAT, і мостові віртуальні машини можуть мати IP-адресу, як хост-машина, але якщо це NAT, машини, які знаходяться в одній мережі, НЕ можуть отримати доступ до нашого vm, але якщо він є мостовим, то вони можуть .

Якщо і NAT, і мостові з'єднання можуть мати різні IP-адреси, то чому я не можу отримати доступ до NAT-адреси, тоді як я можу отримати доступ до мостової адреси?

Примітка: констатація захисту NAT-з'єднань є недостатньою; Я хочу знати, як це.

Як NAT працює в двох словах

Зовнішня адреса, як правило, маршрутизована, є "зовнішньою" стороною NAT. Машини, що стоять за NAT, мають "внутрішню" адресу, яка зазвичай не є маршрутизованою . Коли здійснюється з'єднання між внутрішньою та зовнішньою адресою, система NAT посередині створює запис таблиці переадресації, що складається з (external_ip, external_port, nat_host_ip, nat_host_port, inside_ip, inside_port). Будь-який пакет, що відповідає першим чотирма частинам, отримує призначення, переписане на дві останні частини.

Якщо отримано пакет, який не відповідає запису в таблиці NAT, то в поле NAT немає можливості знати, куди його пересилати, якщо правило про переадресацію не було визначено вручну. Ось чому за замовчуванням машина за NAT-пристроєм "захищена".

Мостові

Мостовий режим діє так само, як і інтерфейс, з яким ви з'єднуєтесь, тепер є комутатором, і VM підключається до порту на ньому. Все діє так само, як якщо б це була чергова звичайна машина, приєднана до цієї мережі.

З NAT розділяються IP-адреси віртуальних машин та мережі, до якої підключається ваш хост. Значить, ваші відеомагнітофони знаходяться в іншій підмережі. Ви можете отримати доступ до мережі, оскільки ваш хост робить трансляцію мережевих адрес (якщо ви не знаєте, що це таке " Що таке суворий, помірний і відкритий NAT?" ). IP призначається DHCP, що працює на хості

За допомогою мостового інтерфейсу ваші віртуальні машини безпосередньо підключені до мережі, до якої підключений мережевий інтерфейс. Це означає, що у вашому випадку вони будуть безпосередньо підключені до мережі, до якої підключається ваш хост, отримуючи IP-адреси від сервера DHCP, що працює в мережі (що, ймовірно, також надає вашому хосту IP).

Тепер чому ви не можете отримати доступ до цих машин:

Тому що вам потрібно включити перенаправлення портів на сегмент NAT. NAT переводить IP-адреси ваших віртуальних машин в один IP. Вхідні з'єднання повинні бути маршрутизовані з переадресацією портів, оскільки хост не може знати, для якої віртуальної машини розуміється з'єднання.

Хоча NAT може забезпечити певний захист, це не брандмауер, з тієї ж причини, що і вище (при використанні NAT вхідні хости не можуть підключитися, якщо не включено портфордінг). Однак NAT НЕ БЕЗПЕЧНО ( http://blog.ioshints.info/2011/12/is-nat-security-feature.html ).

У NAT є кілька побічних ефектів, які нагадують механізми захисту, які зазвичай використовуються на межі мережі. Це НЕ робить його функцією безпеки, тим більше, що існує так багато варіантів NAT.

Місткі з'єднання - це саме те, що фактично віртуальний комутатор підключений між ВМ та фізичним мережним з'єднанням.

NAT'd-з'єднання - це лише те, що замість комутатора NAT-маршрутизатор знаходиться між ВМ та фізичним мережним з'єднанням.

За допомогою NAT-з'єднання хост-комп'ютер (ваш основний фізичний апарат) працює як маршрутизатор / брандмауер. Виправлення VM від мережевого інтерфейсу хоста і всі пакети до / від VM проходять через нього. Оскільки хост-комп'ютер насправді бачить IP-пакети та дейтаграми TCP, він може фільтрувати або іншим чином впливати на трафік.

Коли VM використовує мостовий режим, він підключається до мережі через хост на нижчому рівні (рівень 2 моделі OSI). Хост-машина все ще бачить трафік, але лише на рівні кадру Ethernet. Таким чином, він не може бачити, звідки надходить / переходить трафік, чи які дані містяться в цьому трафіку.