Unterschiede zwischen Bridged- und NAT-Netzwerken

29

Ich verstehe die Unterschiede zwischen NAT und einer überbrückten Verbindung über eine virtuelle Maschine nicht vollständig. Soweit ich weiß, können Computer, die sich im selben Netzwerk wie unser Hostcomputer befinden, auf unsere virtuelle Maschine zugreifen, wenn wir eine Bridged-Verbindung herstellen.

Nun, im Internet schreiben die Leute, dass sowohl NAT als auch überbrückte virtuelle Maschinen eine IP-Adresse wie eine Host-Maschine haben können, aber wenn es NAT ist, können Maschinen, die sich im selben Netzwerk befinden, NICHT auf unser VM zugreifen, aber wenn es überbrückt ist, können sie .

Wenn sowohl NAT- als auch Bridged-Verbindungen unterschiedliche IP-Adressen haben können, warum kann ich dann nicht auf eine NAT-Adresse zugreifen, während ich auf eine Bridged-Adresse zugreifen kann?

Hinweis: Die Angabe, dass NAT-Verbindungen geschützt sind, ist unzureichend. Ich möchte wissen, wie das ist.

oguzhanunlu
quelle
1
Bridging wird auf Schicht 2 ausgeführt, während NAT auf Schicht 3 ausgeführt wird, wodurch eine Art Routing erforderlich ist. en.m.wikipedia.org/wiki/Network_layer
EEAA
1
@EEAA ... aber das erklärt nicht, warum das Routing für einen externen Host nicht funktioniert.
Jeff Ferland
1
NAT ändert die IP-Adresse Ihrer VM von 172.xxx in 192.xxx . Bridged gibt Ihrer VM jedoch eine eigene öffentliche IP-Adresse (wie 172.xxx).
IgorGanapolsky

Antworten:

24

So funktioniert NAT auf den Punkt gebracht

Eine externe Adresse, die normalerweise routingfähig ist, ist das "Äußere" des NAT. Die Maschinen hinter dem NAT haben eine "interne" Adresse, die normalerweise nicht routingfähig ist . Wenn eine Verbindung zwischen einer Innenadresse und einer Außenadresse hergestellt wird, erstellt das NAT-System in der Mitte einen Weiterleitungstabelleneintrag bestehend aus (outside_ip, outside_port, nat_host_ip, nat_host_port, inside_ip, inside_port). Jedes Paket, das mit den ersten vier Teilen übereinstimmt, wird in die letzten beiden Teile zurückgeschrieben.

Wenn ein Paket empfangen wird, das nicht mit einem Eintrag in der NAT-Tabelle übereinstimmt, kann das NAT-Feld nicht wissen, wohin es weitergeleitet werden soll, es sei denn, eine Weiterleitungsregel wurde manuell definiert. Aus diesem Grund ist ein Computer hinter einem NAT-Gerät standardmäßig "geschützt".

Überbrückt

Der Bridged-Modus verhält sich so, als ob die Schnittstelle, mit der Sie eine Bridging-Verbindung herstellen, jetzt ein Switch ist und die VM an einen Port angeschlossen ist. Alles verhält sich so, als wäre es ein anderer normaler Computer, der an dieses Netzwerk angeschlossen ist.

Jeff Ferland
quelle
10

Mit NAT werden die IP-Adressen der virtuellen Maschinen und des Netzwerks, zu dem Ihr Host eine Verbindung herstellt, getrennt. Das heißt, Ihre VMs befinden sich in einem anderen Subnetz. Sie können auf das Netzwerk zugreifen, weil Ihr Host die Netzwerkadressübersetzung durchführt (wenn Sie nicht wissen, was genau strenges, moderates und offenes NAT ist ). Die IP wird von einem auf dem Host ausgeführten DHCP zugewiesen

Über eine Bridged-Schnittstelle sind Ihre virtuellen Maschinen direkt mit dem Netzwerk verbunden, mit dem die von ihnen verwendete Netzwerkschnittstelle verbunden ist. Dies bedeutet in Ihrem Fall, dass sie direkt mit dem Netzwerk verbunden sind, mit dem Ihr Host verbunden ist, und IP-Adressen vom DHCP-Server erhalten, der im Netzwerk ausgeführt wird (der Ihrem Host wahrscheinlich auch seine IP-Adresse gibt).

Warum können Sie nicht auf diese Maschinen zugreifen:

Weil Sie die Portweiterleitung im NAT-Segment aktivieren müssten. Das NAT übersetzt die IP-Adressen Ihrer virtuellen Maschinen in eine einzige IP-Adresse. Eingehende Verbindungen müssen mit Portforwarding geroutet werden, da der Host nicht wissen kann, für welche virtuelle Maschine die Verbindung gedacht ist.

Obwohl NAT einen gewissen Schutz bieten kann, handelt es sich aus demselben Grund wie oben nicht um eine Firewall (bei Verwendung von NAT können eingehende Hosts keine Verbindung herstellen, es sei denn, die Portweiterleitung ist aktiviert). Allerdings ist NAT NICHT SICHER ( http://blog.ioshints.info/2011/12/is-nat-security-feature.html) ).

NAT hat einige Nebenwirkungen, die Sicherheitsmechanismen ähneln, die üblicherweise am Netzwerkrand verwendet werden. Das macht es NICHT zu einem Sicherheitsmerkmal, zumal es so viele Varianten von NAT gibt.

Lucas Kauffman
quelle
9

Überbrückte Verbindungen sind genau das, im Wesentlichen ein virtueller Switch zwischen der VM und Ihrer physischen Netzwerkverbindung verbunden.

NAT-Verbindungen sind auch nur das, anstelle eines Switches befindet sich ein NAT-Router zwischen der VM und Ihrer physischen Netzwerkverbindung.

Chris S
quelle
3

Bei einer NAT-Verbindung verhält sich der Host-Computer (Ihr primärer physischer Computer) wie ein Router / eine Firewall. Die VM-Huckepacks von der Netzwerkschnittstelle des Hosts und alle Pakete zur / von der VM werden durch diese geleitet. Da der Host-Computer tatsächlich IP-Pakete und TCP-Datagramme erkennt, kann er den Datenverkehr filtern oder auf andere Weise beeinflussen.

Wenn die VM den Bridged-Modus verwendet, wird sie über den Host auf einer niedrigeren Ebene (Schicht 2 des OSI-Modells) mit dem Netzwerk verbunden. Der Hostcomputer sieht den Datenverkehr weiterhin, jedoch nur auf der Ethernet-Frame-Ebene. Daher kann nicht festgestellt werden, woher der Verkehr kommt bzw. wohin er geht oder welche Art von Daten in diesem Verkehr enthalten sind.

Jamieb
quelle