Я не до конца понимаю различия между NAT и мостовым соединением через виртуальную машину. Насколько я обнаружил, машины, которые находятся в одной сети с нашей хост-машиной, могут получить доступ к нашей виртуальной машине, если мы установим мостовое соединение.
Ну, в Интернете люди пишут, что как виртуальные машины с NAT, так и с виртуальными мостами могут иметь IP-адрес, такой как хост-машина, но если это NAT, машины, которые находятся в одной сети, НЕ могут получить доступ к нашему виртуальному компьютеру, но если он подключен мостом, то они могут ,
Если и NAT, и мостовые соединения могут иметь разные IP-адреса, то почему я не могу получить доступ к адресу NAT, в то время как я могу получить доступ к мостовому адресу?
Примечание: указание на то, что соединения NAT защищены, недостаточно; Я хочу знать, как это.
источник
Ответы:
Как работает NAT в двух словах
Внешний адрес, обычно маршрутизируемый, является «внешним» NAT. У машин за NAT есть «внутренний» адрес, который обычно не маршрутизируется . Когда устанавливается соединение между внутренним адресом и внешним адресом, система NAT в середине создает запись таблицы пересылки, состоящую из (outside_ip, outside_port, nat_host_ip, nat_host_port, inside_ip, inside_port). Любой пакет, соответствующий первым четырем частям, получает место назначения, переписанное в последние две части.
Если получен пакет, который не соответствует записи в таблице NAT, то для блока NAT не будет способа узнать, куда его переслать, если только правило пересылки не было определено вручную. Вот почему по умолчанию машина за устройством NAT «защищена».
Мостовой
Режим моста действует так же, как интерфейс, с которым вы соединяетесь, теперь является коммутатором, и виртуальная машина подключена к порту на нем. Все работает так же, как если бы это была другая обычная машина, подключенная к этой сети.
источник
При использовании NAT IP-адреса виртуальных машин и сети, к которой подключается ваш хост, разделены. Это означает, что ваши виртуальные машины находятся в другой подсети. Вы можете получить доступ к сети, потому что ваш хост выполняет трансляцию сетевых адресов (если вы не знаете, что это такое. Что такое строгий, умеренный и открытый NAT? ). IP назначается DHCP, работающим на хосте
Благодаря мостовому интерфейсу ваши виртуальные машины напрямую подключены к сети, к которой подключен используемый ими сетевой интерфейс. Это означает, что в вашем случае они будут напрямую подключены к сети, к которой подключается ваш хост, получая IP-адреса от DHCP-сервера, работающего в сети (который, вероятно, также дает вашему хосту его IP).
Теперь, почему вы не можете получить доступ к этим машинам:
Потому что вам нужно включить перенаправление портов в сегменте NAT. NAT преобразует IP-адреса ваших виртуальных машин в один IP-адрес. Входящие соединения должны маршрутизироваться с переадресацией портов, поскольку хост не может знать, для какой виртуальной машины предназначено это соединение.
Хотя NAT может обеспечить некоторую защиту, он не является брандмауэром по той же причине, что и выше (при использовании NAT входящие хосты не могут подключиться, если не включена переадресация портов). Однако NAT НЕ БЕЗОПАСНОСТЬ ( http://blog.ioshints.info/2011/12/is-nat-security-feature.html ).
NAT имеет некоторые побочные эффекты, которые напоминают механизмы безопасности, обычно используемые на границе сети. Это НЕ делает его функцией безопасности, тем более что существует множество вариантов NAT.
источник
Мостовые соединения - это просто виртуальный коммутатор , подключенный между виртуальной машиной и физическим сетевым соединением.
NAT-соединения также состоят в том, что вместо коммутатора маршрутизатор NAT находится между виртуальной машиной и физическим сетевым соединением.
источник
При подключении через NAT хост-компьютер (ваш основной физический компьютер) работает как маршрутизатор / брандмауэр. Виртуальная машина соединяется с сетевым интерфейсом хоста, и через нее маршрутизируются все пакеты в / из виртуальной машины. Поскольку хост-компьютер фактически видит IP-пакеты и TCP-дейтаграммы, он может фильтровать или иным образом влиять на трафик.
Когда виртуальная машина использует мостовой режим, она подключается к сети через хост на более низком уровне (уровень 2 модели OSI). Хост-машина все еще видит трафик, но только на уровне кадра Ethernet. Таким образом, он не может видеть, откуда идет трафик или какие данные содержатся в этом трафике.
источник