Köprülü ve NAT ağı arasındaki farklar

NAT ile sanal bir makine üzerindeki köprülü bağlantı arasındaki farkları tam olarak anlamıyorum. Bulduğum kadarıyla, ana makinemizle aynı ağda olan makineler, köprülenmiş bir bağlantı yaparsak sanal makinemize erişebilir.

İnternette, insanlar hem NAT hem de köprülü sanal makinelerin bir ana makine gibi IP adreslerine sahip olabileceğini ancak NAT ise aynı ağda olan makinelerin vm'İMİZE erişemediğini ancak köprü oluşturduklarında yazabildiklerini söylüyorlar. .

NAT ve köprülenmiş bağlantıların her ikisi de farklı IP adreslerine sahipse, neden köprülü bir adrese erişirken neden NAT'd adresine erişemiyorum?

Not: NAT bağlantılarının korunduğunu bildirmek yetersizdir; Bunun nasıl olduğunu bilmek istiyorum.

NAT kısaca nasıl çalışır?

Genellikle yönlendirilebilen bir dış adres, NAT'ın "dışında" dır. NAT'ın arkasındaki makineler genellikle yönlendirilemeyen bir "iç" adrese sahiptir . Bir iç adres ile bir dış adres arasında bir bağlantı yapıldığında, ortadaki NAT sistemi, (outside_ip, outside_port, nat_host_ip, nat_host_port, inside_ip, inside_port) 'dan oluşan bir iletme tablosu girişi oluşturur. İlk dört bölümle eşleşen herhangi bir paket, hedefini son iki bölüme yeniden yazdı.

NAT tablosundaki bir girdiyle eşleşmeyen bir paket alınırsa, bir yönlendirme kuralı elle tanımlanmadığı sürece NAT kutusunun nereye yönlendirileceğini bilmesi mümkün değildir. Bu nedenle, varsayılan olarak, bir NAT aygıtının arkasındaki makine "korumalıdır".

Köprülü

Köprü modu, köprü oluşturduğunuz arabirim gibi çalışır, şimdi bir anahtardır ve VM üzerinde bir bağlantı noktasına takılıdır. Her şey, o ağa bağlı başka bir normal makine gibi davranır.

NAT ile sanal makinelerin IP'leri ve sunucunuzun bağlandığı ağ birbirinden ayrılır. Yani, VM'leriniz farklı bir alt ağda. Ağınıza erişim sağlayabilirsiniz çünkü ana makineniz Ağ Adresi Çevirisi yapıyor (bunun ne olduğunu bilmiyorsanız , katı, orta ve açık NAT nedir? ). IP, ana bilgisayarda çalışan bir DHCP tarafından atanır

Köprülü bir arayüz ile sanal makineleriniz doğrudan kullandıkları ağ arayüzüne bağlı olduğu ağa bağlanır. Bu, sizin durumunuzda, ana makinenizin bağlandığı ağa doğrudan bağlanacakları ve ağ üzerinde çalışan DHCP sunucusundan IP adresleri alabilecekleri anlamına gelir (bu muhtemelen ana makinenize IP'sini de verir).

Şimdi neden bu makinelere erişemiyorsunuz:

Çünkü, NAT segmentinde taşıma işlemini etkinleştirmeniz gerekir. NAT, sanal makinelerinizin IP'lerini tek bir IP'ye çevirir. Gelen bağlantıların, bağlantı noktasının hangi sanal makine için kullanıldığını bilmediğinden bağlantı yönlendirmeyle yönlendirilmesi gerekir.

NAT bir koruma sağlasa da, bir güvenlik duvarı değildir, yukarıdakiyle aynı sebepten dolayı (NAT kullanılırken, portforwarding etkinleştirilmedikçe gelen ana bilgisayarlar bağlanamaz). Ancak NAT GÜVENLİK DEĞİLDİR ( http://blog.ioshints.info/2011/12/is-nat-security-feature.html ).

NAT, ağ kenarında yaygın olarak kullanılan güvenlik mekanizmalarına benzeyen bazı yan etkilere sahiptir. Bu, onu NAT'ın çok fazla çeşidi olduğu için bir güvenlik özelliği yapmaz.

Köprülü bağlantılar, aslında VM ile fiziksel ağ bağlantınız arasında sanal bir anahtarın bağlandığı şekildedir .

NAT’ın bağlantıları da aynıdır, bir anahtar yerine bir NAT yönlendirici VM ile fiziksel ağ bağlantınız arasındadır.

NAT bağlantısıyla, ana bilgisayar (birincil, fiziksel makineniz) bir yönlendirici / güvenlik duvarı gibi davranır. VM, ana bilgisayarın ağ arayüzünü kapatır ve VM'den gelen ve gelen tüm paketler içinden geçirilir. Ana bilgisayar aslında IP paketlerini ve TCP datagramlarını gördüğünden, trafiği filtreleyebilir veya başka şekilde etkileyebilir.

VM köprülü mod kullanıyorsa, ana bilgisayara ağa daha düşük bir düzeyde bağlanır (OSI modelinin Katmanı 2). Ana makine trafiği hala görüyor, ancak yalnızca Ethernet çerçevesi düzeyinde. Bu nedenle, trafiğin nereden geldiğini / nereye gittiğini veya bu trafikte ne tür veriler bulunduğunu göremiyor.