ブリッジとNATネットワーキングの違い
NATと仮想マシンを介したブリッジ接続の違いを完全に理解していません。私が見つけた限りでは、ホストマシンと同じネットワーク上にあるマシンは、ブリッジ接続を行う場合は仮想マシン。
まあ、インターネットでは、NATとブリッジ仮想マシンの両方がホストマシンのようなIPアドレスを持つことができますが、NATの場合、同じネットワーク上にあるマシンは私たちのvmにアクセスできません。しかし、それがブリッジされている場合、それらはできます。
NATとブリッジ接続の両方が異なるIPアドレスを持つ可能性がある場合、なぜブリッジアドレスにアクセスできるのにNATアドレスにアクセスできないのですか?
注:NAT接続が保護されていることを示すだけでは不十分です。その方法を知りたいのですが。
NATは、簡単に言うと
通常ルーティング可能な外部アドレスは、NATの「外部」です。 NATの背後にあるマシンは、通常 ルーティングできない である「内部」アドレスを持っています。)接続が確立されたとき内部アドレスと外部アドレスの間で、NATシステムは途中で(outside_ip、outside_port、nat_Host_ip、nat_Host_port、inside_ip、inside_port)で構成される転送テーブルエントリを作成します。 4つのパートは、宛先を最後の2つのパートに書き換えます。
NATテーブルのエントリと一致しないパケットが受信された場合、NATボックスがそれを転送する場所を知る方法はありません転送ルールを手動で定義した場合を除き、デフォルトでNATデバイスの背後にあるマシンは「保護」されています。
ブリッジド
ブリッジモードは、ブリッジしているインターフェイスがスイッチになり、VMがそのポートに接続されているように機能します。すべてが、それに接続されている別の通常のマシンであるかのように動作します通信網。
NATを使用すると、ホストが接続している仮想マシンのIPとネットワークが分離されます。つまり、VMは別のサブネット上にあります。ホストがネットワークアドレス変換を行っているため、ネットワークにアクセスできます(それが何であるかがわからない場合 厳密、中程度、オープンなNATとは )IPは、ホスト上で実行されているDHCPによって割り当てられます
ブリッジインターフェースを使用すると、仮想マシンは、使用しているネットワークインターフェースが接続されているネットワークに直接接続されます。つまり、ホストが接続するネットワークに直接接続され、ネットワークで実行されているDHCPサーバーからIPアドレスを取得します(これにより、ホストにIPが割り当てられる可能性があります)。
これらのマシンにアクセスできないのはなぜですか。
NATセグメントでポートフォワーディングを有効にする必要があるため。NATは、仮想マシンのIPを単一のIPに変換します。着信接続は、ポートフォワーディングでルーティングする必要があります。ホストはどの仮想マシンに対して接続が意図されているのかを知ることができないため。
NATはある程度の保護を提供できますが、上記と同じ理由でファイアウォールではありません(NATを使用する場合、ポートフォワーディングが有効になっていないと受信ホストは接続できません)。ただし、NATはセキュリティではありません( http://blog.ioshints.info/2011/12/is-nat-security-feature.html )。
NATには、ネットワークエッジで一般的に使用されるセキュリティメカニズムに似た副作用があります。 NATには非常に多くのバリアントがあるため、これはセキュリティ機能にはなりません。
NAT接続の場合、ホストコンピュータ(プライマリ、物理マシン)はルーター/ファイアウォールのように機能します。VMのネットワークインターフェースをオフにしますホストとVMとの間のすべてのパケットはそれを介してルーティングされます。ホストコンピュータは実際にIPパケットとTCPデータグラムを見るので、フィルタリングするか、またはその他の影響を与える可能性があります。トラフィック。
VMがブリッジモードを使用している場合、下位レベルのホスト(OSIモデルのレイヤー2)を介してネットワークに接続しています。ホストマシンは引き続きトラフィックを認識しますが、イーサネットフレームレベル。そのため、トラフィックの発信元/宛先、またはそのトラフィックに含まれるデータの種類を確認できません。