Perbedaan antara jaringan dijembatani dan NAT

Saya tidak sepenuhnya memahami perbedaan antara NAT dan koneksi dijembatani melalui mesin virtual. Sejauh yang saya temukan, mesin yang berada di jaringan yang sama dengan mesin host kami dapat mengakses mesin virtual kami jika kami membuat koneksi yang dijembatani.

Nah, di internet, orang menulis bahwa baik mesin virtual NAT dan bridged dapat memiliki alamat IP seperti mesin host, tetapi jika itu adalah NAT, mesin yang berada di jaringan yang sama TIDAK dapat mengakses vm kami tetapi jika sudah dijembatani, maka mereka dapat .

Jika kedua koneksi NAT dan bridged dapat memiliki alamat IP yang berbeda, maka mengapa saya tidak dapat mengakses alamat NAT'd sementara saya dapat mengakses alamat bridged?

Catatan: menyatakan bahwa koneksi NAT dilindungi tidak cukup; Saya ingin tahu bagaimana itu.

Singkatnya, cara kerja NAT

Alamat eksternal, biasanya dapat dialihkan, adalah "luar" dari NAT. Mesin di belakang NAT memiliki alamat "di dalam" yang biasanya tidak dapat dirutekan . Ketika koneksi dibuat antara alamat dalam dan alamat luar, sistem NAT di tengah membuat entri tabel penerusan yang terdiri dari (outside_ip, outside_port, nat_host_ip, nat_host_port, inside_ip, inside_port). Paket apa pun yang cocok dengan empat bagian pertama mendapatkan tujuannya ditulis ulang untuk dua bagian terakhir.

Jika paket diterima yang tidak cocok dengan entri dalam tabel NAT, maka tidak ada cara bagi kotak NAT untuk mengetahui di mana untuk meneruskannya kecuali aturan penerusan secara manual ditentukan. Itu sebabnya, secara default, mesin di belakang perangkat NAT "dilindungi".

Dijembatani

Mode Bridged bertindak seperti antarmuka yang sedang Anda gunakan sekarang adalah sebuah saklar dan VM terhubung ke port di atasnya. Semuanya bertindak sama seperti jika itu adalah mesin biasa yang terpasang pada jaringan itu.

Dengan NAT, IP mesin virtual dan jaringan yang dihubungi host Anda terpisah. Berarti VM Anda berada di subnet yang berbeda. Anda dapat mengakses jaringan karena host Anda sedang melakukan Terjemahan Alamat Jaringan (jika Anda tidak tahu apa itu. Apa itu NAT yang ketat, sedang, dan terbuka? ). IP ditugaskan oleh DHCP yang berjalan di host

Dengan antarmuka penghubung mesin virtual Anda terhubung langsung ke jaringan, antarmuka jaringan yang mereka gunakan terhubung. Ini berarti dalam kasus Anda bahwa mereka akan terhubung langsung ke jaringan host Anda terhubung, mendapatkan alamat IP dari server DHCP yang berjalan di jaringan (yang mungkin juga memberikan host Anda IP-nya).

Sekarang mengapa Anda tidak dapat mengakses mesin-mesin ini:

Karena Anda perlu mengaktifkan portforwarding pada segmen NAT. NAT menerjemahkan IP mesin virtual Anda ke IP tunggal. Koneksi incomming harus dirutekan dengan portforwarding karena tuan rumah tidak tahu untuk mesin virtual apa koneksi dimaksud.

Meskipun NAT dapat memberikan perlindungan, itu bukan firewall, untuk alasan yang sama seperti di atas (saat menggunakan NAT, host inbound tidak dapat terhubung kecuali portforwarding diaktifkan). Namun NAT BUKAN KEAMANAN ( http://blog.ioshints.info/2011/12/is-nat-security-feature.html ).

NAT memiliki beberapa efek samping yang menyerupai mekanisme keamanan yang biasa digunakan di tepi jaringan. Itu TIDAK menjadikannya fitur keamanan, apalagi karena ada begitu banyak varian NAT.

Koneksi Bridged hanya itu, pada dasarnya switch virtual terhubung antara VM dan koneksi jaringan fisik Anda.

Koneksi NAT'd juga hanya itu, alih-alih switch, router NAT berada di antara VM dan koneksi jaringan fisik Anda.

Dengan koneksi NAT, komputer host (mesin fisik utama Anda) bertindak seperti router / firewall. Piggyback VM dari antarmuka jaringan host dan semua paket ke / dari VM disalurkan melalui itu. Karena komputer host benar-benar melihat paket IP dan datagram TCP, itu dapat menyaring atau memengaruhi lalu lintas.

Ketika VM menggunakan mode bridged, itu menghubungkan ke jaringan melalui host di tingkat yang lebih rendah (Layer 2 dari model OSI). Mesin host masih melihat lalu lintas, tetapi hanya pada tingkat frame Ethernet. Jadi tidak dapat melihat dari mana lalu lintas datang / pergi atau jenis data apa yang terkandung dalam lalu lintas itu.