Frage Unterschiede zwischen Bridged und NAT-Netzwerk


Ich verstehe die Unterschiede zwischen NAT und einer Bridge-Verbindung über eine virtuelle Maschine nicht vollständig. Soweit ich herausgefunden habe, können Maschinen, die sich mit unserem Host-Rechner im selben Netzwerk befinden, auf unsere virtuelle Maschine zugreifen, wenn wir eine Bridge-Verbindung herstellen.

Nun, im Internet schreiben Leute, dass sowohl NAT als auch überbrückte virtuelle Maschinen eine IP-Adresse wie ein Hostcomputer haben können, aber wenn es sich um NAT handelt, können Maschinen, die sich im selben Netzwerk befinden, NICHT auf unser VM zugreifen, aber wenn es überbrückt wird .

Wenn sowohl NAT- als auch Bridge-Verbindungen unterschiedliche IP-Adressen haben können, warum kann ich dann nicht auf eine NAT-Adresse zugreifen, während ich auf eine Bridge-Adresse zugreifen kann?

Hinweis: Die Angabe, dass NAT-Verbindungen geschützt sind, ist nicht ausreichend. Ich möchte wissen, wie das ist.


27
2018-03-21 13:38


Ursprung


Bridging funktioniert auf Schicht 2, während NAT auf Schicht 3 operiert und daher eine Art Routing benötigt. en.m.wikipedia.org/wiki/Network_layer - EEAA
@EEEAA ... aber das erklärt nicht, warum das Routing für einen externen Host nicht funktioniert. - Jeff Ferland
NAT ändert die IP-Adresse Ihrer VM von etwas wie 172.x.x.x zu 192.x.x.x. Bridged wird Ihrer VM jedoch eine eigene öffentliche IP-Adresse zuweisen (wie 172.x.x.x). - Igor Ganapolsky


Antworten:


Wie NAT auf den Punkt kommt

Eine externe Adresse, normalerweise routbar, ist das "Äußere" des NAT. Die Maschinen hinter dem NAT haben normalerweise eine "innere" Adresse nicht routingfähig. Wenn eine Verbindung zwischen einer Innenadresse und einer Außenadresse hergestellt wird, erstellt das NAT-System in der Mitte einen Weiterleitungstabelleneintrag, bestehend aus (outside_ip, outside_port, nat_host_ip, nat_host_port, inside_ip, inside_port). Jedes Paket, das mit den ersten vier Teilen übereinstimmt, erhält sein Ziel in den letzten zwei Teilen neu geschrieben.

Wenn ein Paket empfangen wird, das nicht mit einem Eintrag in der NAT-Tabelle übereinstimmt, kann die NAT-Box nicht wissen, wohin sie weitergeleitet werden soll, sofern nicht manuell eine Weiterleitungsregel definiert wurde. Aus diesem Grund ist ein Rechner hinter einem NAT-Gerät standardmäßig "geschützt".

Überbrückt

Der Bridged-Modus verhält sich genau wie die Schnittstelle, mit der Sie überbrücken, ist jetzt ein Switch und die VM ist an einen Port angeschlossen. Alles verhält sich genauso, als wäre es ein anderer normaler Computer, der an dieses Netzwerk angeschlossen ist.


22
2018-03-21 13:50





Bei NAT werden die IPs der virtuellen Maschinen und das Netzwerk, mit dem der Host verbunden ist, getrennt. Das bedeutet, dass sich Ihre VMs in einem anderen Subnetz befinden. Sie können auf das Netzwerk zugreifen, da Ihr Host Network Address Translation durchführt (wenn Sie nicht wissen, was das ist) Was ist striktes, moderates und offenes NAT? ). Die IP wird von einem DHCP zugewiesen, der auf dem Host ausgeführt wird

Mit einer überbrückten Schnittstelle sind Ihre virtuellen Maschinen direkt mit dem Netzwerk verbunden, mit dem die Netzwerkschnittstelle verbunden ist, mit der sie verbunden sind. Dies bedeutet in Ihrem Fall, dass sie direkt mit dem Netzwerk verbunden sind, mit dem Ihr Host verbunden ist, indem sie IP-Adressen vom DHCP-Server erhalten, der im Netzwerk läuft (was Ihrem Host wahrscheinlich auch seine IP gibt).

Nun, warum können Sie nicht auf diese Maschinen zugreifen:

Weil Sie die Portweiterleitung im NAT-Segment aktivieren müssten. Das NAT übersetzt die IP-Adressen Ihrer virtuellen Maschinen in eine einzige IP-Adresse. Eingehende Verbindungen müssen mit Portforwarding geroutet werden, da der Host nicht wissen kann, für welche virtuelle Maschine die Verbindung gedacht ist.

Obwohl NAT einen gewissen Schutz bieten kann, ist es keine Firewall, aus dem gleichen Grund wie oben (bei der Verwendung von NAT können eingehende Hosts keine Verbindung herstellen, wenn die Portweiterleitung nicht aktiviert ist). NAT ist jedoch keine Sicherheit (http://blog.ioshints.info/2011/12/is-nat-sicherheit-feature.html).

NAT hat einige Nebenwirkungen, die Sicherheitsmechanismen ähneln, die am Netzwerkrand häufig verwendet werden. Das macht es NICHT zu einem Sicherheitsmerkmal, umso mehr, als es so viele Varianten von NAT gibt.


7
2018-03-21 13:47





Überbrückte Verbindungen sind genau das, im Wesentlichen ein virtueller Schalter ist zwischen der VM und Ihrer physischen Netzwerkverbindung verbunden.

NAT'd-Verbindungen sind auch nur das, anstelle eines Schalters a NAT-Router ist zwischen der VM und Ihrer physischen Netzwerkverbindung.


7
2018-03-21 13:48





Bei einer NAT-Verbindung verhält sich der Host-Computer (Ihre primäre physische Maschine) wie ein Router / eine Firewall. Die VM ruckelt von der Netzwerkschnittstelle des Hosts ab und alle Pakete zu / von der VM werden durch sie geleitet. Da der Host-Computer tatsächlich IP-Pakete und TCP-Datagramme sieht, kann er den Datenverkehr filtern oder anderweitig beeinflussen.

Wenn die VM den Bridged-Modus verwendet, stellt sie eine Verbindung zum Netzwerk über den Host auf einer niedrigeren Ebene her (Layer 2 des OSI-Modells). Der Host-Computer sieht immer noch den Datenverkehr, jedoch nur auf der Ethernet-Frame-Ebene. Es ist also nicht ersichtlich, wo der Datenverkehr von / zu dem Datenverkehr stattfindet oder welche Daten in diesem Datenverkehr enthalten sind.


1
2018-03-21 13:48