ความแตกต่างระหว่างบริดจ์และเครือข่าย NAT

ฉันไม่เข้าใจความแตกต่างระหว่าง NAT และการเชื่อมต่อระหว่างบริดจ์บนเครื่องเสมือน เท่าที่ฉันได้พบเครื่องที่อยู่ในเครือข่ายเดียวกันกับเครื่องโฮสต์ของเราสามารถเข้าถึงเครื่องเสมือนของเราหากเราทำการเชื่อมต่อบริดจ์

บนอินเทอร์เน็ตคนเขียนว่าทั้ง NAT และ bridged virtual machine สามารถมี IP address เหมือน host machine แต่ถ้าเป็น NAT เครื่องที่อยู่ในเครือข่ายเดียวกันจะไม่สามารถเข้าถึง vm ของเราได้ แต่ถ้ามันถูก bridged ก็สามารถ .

หากทั้งการเชื่อมต่อ NAT และการเชื่อมต่อบริดจ์สามารถมีที่อยู่ IP ที่แตกต่างกันได้เหตุใดฉันจึงไม่สามารถเข้าถึงที่อยู่ NAT ในขณะที่ฉันสามารถเข้าถึงที่อยู่บริดจ์ได้

หมายเหตุ: ระบุว่าการเชื่อมต่อ NAT ได้รับการป้องกันไม่เพียงพอ ฉันอยากรู้ว่ามันเป็นอย่างไร

วิธีการทำงานของ NAT โดยสรุป

ที่อยู่ภายนอกมักจะกำหนดเส้นทางได้คือ "นอก" ของ NAT เครื่องที่อยู่ด้านหลัง NAT มีที่อยู่ "ภายใน" ซึ่งโดยทั่วไปจะไม่สามารถกำหนดเส้นทางได้ เมื่อทำการเชื่อมต่อระหว่างที่อยู่ภายในและที่อยู่ภายนอกระบบ NAT ที่อยู่ตรงกลางจะสร้างรายการตารางการส่งต่อซึ่งประกอบด้วย (outside_ip, Outside_port, nat_host_ip, nat_host_port, inside_ip, inside_port) แพ็คเก็ตใด ๆ ที่ตรงกับสี่ส่วนแรกจะได้รับปลายทางของมันถูกเขียนซ้ำไปยังสองส่วนสุดท้าย

หากได้รับแพ็คเก็ตที่ไม่ตรงกับรายการในตาราง NAT จะไม่มีวิธีใดที่กล่อง NAT จะทราบตำแหน่งที่จะส่งต่อเว้นแต่ว่ามีการกำหนดกฎการส่งต่อด้วยตนเอง ด้วยเหตุนี้โดยค่าเริ่มต้นเครื่องที่อยู่เบื้องหลังอุปกรณ์ NAT จะ "ป้องกัน"

สะพาน

โหมดบริดจ์ทำหน้าที่เหมือนกับอินเทอร์เฟซที่คุณกำลังเชื่อมต่อด้วยตอนนี้เป็นสวิตช์และ VM ถูกเสียบเข้ากับพอร์ต ทุกอย่างทำหน้าที่เหมือนกับว่าเป็นเครื่องปกติอีกเครื่องที่เชื่อมต่อกับเครือข่ายนั้น

ด้วย NAT IP ของเครื่องเสมือนและเครือข่ายที่โฮสต์ของคุณเชื่อมต่ออยู่จะถูกแยกออก ความหมาย VMs ของคุณอยู่ในซับเน็ตที่แตกต่างกัน คุณสามารถเข้าถึงเครือข่ายได้เนื่องจากโฮสต์ของคุณกำลังทำการแปลที่อยู่เครือข่าย (ถ้าคุณไม่รู้ว่าอะไรคือ NAT ที่เข้มงวดปานกลางและเปิด NAT ได้ ) IP ถูกกำหนดโดย DHCP ที่ทำงานบนโฮสต์

ด้วยอินเทอร์เฟซ bridged เครื่องเสมือนของคุณเชื่อมต่อโดยตรงกับเครือข่ายเชื่อมต่อเครือข่ายที่พวกเขากำลังใช้เชื่อมต่อกับ ซึ่งหมายความว่าในกรณีของคุณว่าพวกเขาจะเชื่อมต่อโดยตรงกับเครือข่ายที่โฮสต์ของคุณเชื่อมต่อรับที่อยู่ IP จากเซิร์ฟเวอร์ DHCP ที่ทำงานบนเครือข่าย (ซึ่งอาจให้ IP ของโฮสต์ด้วย)

ตอนนี้ทำไมคุณไม่สามารถเข้าถึงเครื่องเหล่านี้ได้:

เนื่องจากคุณจะต้องเปิดใช้งานการส่งต่อข้อมูลในส่วน NAT NAT แปล IP เครื่องเสมือนของคุณเป็น IP เดียว การเชื่อมต่อที่ไม่ได้ตั้งใจจะต้องถูกกำหนดเส้นทางด้วยการส่งต่อพอร์ตเนื่องจากโฮสต์ไม่สามารถรู้ได้ว่าเครื่องเสมือนหมายถึงการเชื่อมต่อใด

แม้ว่า NAT สามารถให้การป้องกันบางอย่างไม่ใช่ไฟร์วอลล์ แต่ด้วยเหตุผลเดียวกับข้างบน (เมื่อใช้ NAT แต่โฮสต์ขาเข้าไม่สามารถเชื่อมต่อได้เว้นแต่ว่าการเปิดใช้งานพอร์ตไปข้างหน้า) อย่างไรก็ตาม NAT ไม่ใช่ความปลอดภัย ( http://blog.ioshints.info/2011/12/is-nat-security-feature.html )

NAT มีผลข้างเคียงบางอย่างที่คล้ายกับกลไกความปลอดภัยที่ใช้กันทั่วไปที่ขอบเครือข่าย แต่นั่นไม่ได้ทำให้มันเป็นคุณลักษณะด้านความปลอดภัยมากขึ้นเพราะมีหลายสายพันธุ์ของ NAT

การเชื่อมต่อที่เชื่อมโยงเป็นเพียงแค่นั้นสวิตช์เสมือนเชื่อมต่อระหว่าง VM และการเชื่อมต่อเครือข่ายทางกายภาพของคุณ

การเชื่อมต่อ NAT'd ก็แค่นั้นแทนสวิตช์เราเตอร์ NATอยู่ระหว่าง VM และการเชื่อมต่อเครือข่ายทางกายภาพของคุณ

ด้วยการเชื่อมต่อ NAT คอมพิวเตอร์โฮสต์ (เครื่องหลักของคุณ) จะทำหน้าที่เหมือนเราเตอร์ / ไฟร์วอลล์ VM piggybacks นอกอินเทอร์เฟซเครือข่ายของโฮสต์และแพ็กเก็ตทั้งหมดไปยัง / จาก VM จะถูกกำหนดเส้นทางผ่านมัน เนื่องจากโฮสต์คอมพิวเตอร์เห็นแพ็กเก็ต IP และดาตาแกรม TCP จริง ๆ มันสามารถกรองหรือส่งผลกระทบต่อปริมาณการใช้งาน

เมื่อ VM กำลังใช้โหมด bridged จะเป็นการเชื่อมต่อกับเครือข่ายผ่านโฮสต์ที่ระดับต่ำกว่า (Layer 2 ของรุ่น OSI) เครื่องโฮสต์ยังคงเห็นทราฟฟิก แต่เฉพาะที่ระดับเฟรม Ethernet ดังนั้นจึงไม่สามารถดูได้ว่าการรับส่งข้อมูลมาจาก / ไปที่ใดหรือมีข้อมูลประเภทใดอยู่ในการรับส่งข้อมูลนั้น