Differenze tra reti bridge e NAT

Non capisco completamente le differenze tra NAT e una connessione a ponte su una macchina virtuale. Per quanto ne ho trovato, le macchine che si trovano sulla stessa rete con la nostra macchina host possono accedere alla nostra macchina virtuale se stabiliamo una connessione a ponte.

Bene, su Internet, le persone scrivono che sia NAT che le macchine virtuali con bridge possono avere un indirizzo IP come una macchina host, ma se si tratta di NAT, le macchine che si trovano sulla stessa rete NON possono accedere al nostro vm ma se è un bridge, allora possono .

Se entrambe le connessioni NAT e con bridge possono avere indirizzi IP diversi, perché non posso accedere a un indirizzo NAT mentre posso accedere a un indirizzo con bridge?

Nota: affermare che le connessioni NAT sono protette non è sufficiente; Voglio sapere com'è.

Come funziona NAT in breve

Un indirizzo esterno, normalmente instradabile, è "esterno" del NAT. Le macchine dietro il NAT hanno un indirizzo "interno" che di solito non è instradabile . Quando viene stabilita una connessione tra un indirizzo interno e un indirizzo esterno, il sistema NAT nel mezzo crea una voce della tabella di inoltro composta da (outside_ip, outside_port, nat_host_ip, nat_host_port, inside_ip, inside_port). Ogni pacchetto che corrisponde alle prime quattro parti viene riscritto nella sua destinazione nelle ultime due parti.

Se viene ricevuto un pacchetto che non corrisponde a una voce nella tabella NAT, la scatola NAT non ha modo di sapere dove inoltrarlo a meno che non sia stata definita manualmente una regola di inoltro. Ecco perché, per impostazione predefinita, una macchina dietro un dispositivo NAT è "protetta".

Bridged

La modalità bridge funziona esattamente come l'interfaccia con cui stai collegando è ora uno switch e la VM è collegata a una porta su di essa. Tutto si comporta come se fosse un'altra macchina normale collegata a quella rete.

Con NAT gli IP delle macchine virtuali e della rete a cui si connette l'host sono separati. Ciò significa che le macchine virtuali si trovano su una sottorete diversa. Puoi accedere alla rete perché il tuo host sta eseguendo la traduzione dell'indirizzo di rete (se non sai cosa sia NAT rigoroso, moderato e aperto? ). L'IP è assegnato da un DHCP in esecuzione sull'host

Con un'interfaccia bridge le tue macchine virtuali sono direttamente connesse alla rete a cui è connessa l'interfaccia di rete che stanno utilizzando. Ciò significa che nel tuo caso saranno direttamente collegati alla rete a cui si connette l'host, ottenendo gli indirizzi IP dal server DHCP in esecuzione sulla rete (che probabilmente fornisce anche al tuo host il suo IP).

Ora perché non riesci ad accedere a queste macchine:

Perché è necessario abilitare il portforwarding sul segmento NAT. Il NAT traduce gli IP delle macchine virtuali in un singolo IP. Le connessioni in entrata devono essere instradate con portforwarding poiché l'host non può sapere per quale macchina virtuale si intende la connessione.

Sebbene NAT possa fornire una certa protezione non è un firewall, per lo stesso motivo di cui sopra (quando si utilizza NAT, gli host in entrata non possono connettersi a meno che il portforwarding non sia abilitato). Tuttavia NAT non è SICUREZZA ( http://blog.ioshints.info/2011/12/is-nat-security-feature.html ).

NAT ha alcuni effetti collaterali che ricordano i meccanismi di sicurezza comunemente usati ai margini della rete. Ciò NON lo rende una funzionalità di sicurezza, tanto più che ci sono così tante varianti di NAT.

Le connessioni a ponte sono proprio questo, essenzialmente uno switch virtuale è collegato tra la VM e la connessione di rete fisica.

Le connessioni NAT sono anche questo, invece di uno switch un router NAT si trova tra la VM e la connessione di rete fisica.

Con una connessione NAT, il computer host (la tua macchina fisica primaria) agisce come un router / firewall. La VM trasporta sulle spalle l'interfaccia di rete dell'host e tutti i pacchetti verso / dalla VM vengono instradati attraverso di essa. Poiché il computer host in realtà vede pacchetti IP e datagrammi TCP, può filtrare o influenzare in altro modo il traffico.

Quando la VM utilizza la modalità bridge, si connette alla rete tramite l'host a un livello inferiore (Livello 2 del modello OSI). La macchina host vede ancora il traffico, ma solo a livello di frame Ethernet. Quindi non è in grado di vedere da dove proviene / va il traffico o quale tipo di dati è contenuto in quel traffico.