Diferenças entre redes NAT e pontes

Não entendo completamente as diferenças entre NAT e uma conexão em ponte sobre uma máquina virtual. Até onde eu descobri, as máquinas que estão na mesma rede que a nossa máquina host podem acessar nossa máquina virtual se fizermos uma conexão em ponte.

Bem, na internet, as pessoas escrevem que as máquinas virtuais NAT e em ponte podem ter endereço IP como uma máquina host, mas se for NAT, as máquinas que estão na mesma rede NÃO podem acessar nossa vm, mas se estiver em ponte, elas podem .

Se as conexões NAT e em ponte podem ter endereços IP diferentes, por que não consigo acessar um endereço com NAT enquanto posso acessar um endereço em ponte?

Nota: declarar que as conexões NAT estão protegidas é insuficiente; Eu quero saber como é isso.

Como o NAT funciona em poucas palavras

Um endereço externo, geralmente roteável, é o "fora" do NAT. As máquinas atrás do NAT têm um endereço "interno" que geralmente não é roteável . Quando uma conexão é estabelecida entre um endereço interno e um externo, o sistema NAT no meio cria uma entrada da tabela de encaminhamento que consiste em (ip externo, porta externa, porta nat_ip, porta nat_host, porta nat_port, porta interna). Qualquer pacote que corresponda às quatro primeiras partes recebe seu destino reescrito nas duas últimas partes.

Se for recebido um pacote que não corresponda a uma entrada na tabela NAT, a caixa NAT não terá como saber para onde encaminhar, a menos que uma regra de encaminhamento tenha sido definida manualmente. É por isso que, por padrão, uma máquina atrás de um dispositivo NAT está "protegida".

Bridged

O modo de ponte funciona exatamente como a interface com a qual você está fazendo a ponte agora é um comutador e a VM está conectada a uma porta. Tudo funciona da mesma forma como se fosse outra máquina comum conectada a essa rede.

Com o NAT, os IPs das máquinas virtuais e a rede à qual o host está se conectando são separados. Significando que suas VMs estão em uma sub-rede diferente. Você pode acessar a rede porque seu host está executando a tradução de endereços de rede (se você não sabe o que é isso O que é NAT rígido, moderado e aberto? ). O IP é atribuído por um DHCP em execução no host

Com uma interface em ponte, suas máquinas virtuais são conectadas diretamente à rede à qual a interface de rede que eles estão usando está conectada. Isso significa que, no seu caso, eles serão conectados diretamente à rede à qual o host se conecta, obtendo endereços IP do servidor DHCP em execução na rede (o que provavelmente também fornece o IP ao host).

Agora, por que você não pode acessar estas máquinas:

Porque você precisaria habilitar o encaminhamento de porta no segmento NAT. O NAT converte os IPs das suas máquinas virtuais em um único IP. As conexões recebidas devem ser roteadas com o encaminhamento de porta, pois o host não pode saber para qual máquina virtual a conexão se destina.

Embora o NAT possa fornecer alguma proteção, não é um firewall, pelo mesmo motivo acima (ao usar o NAT, os hosts de entrada não podem se conectar a menos que o encaminhamento de porta esteja ativado). No entanto, NAT NÃO É SEGURANÇA ( http://blog.ioshints.info/2011/12/is-nat-security-feature.html ).

O NAT tem alguns efeitos colaterais que se assemelham aos mecanismos de segurança comumente usados ​​na borda da rede. Isso NÃO o torna um recurso de segurança, mais ainda porque existem muitas variantes do NAT.

As conexões em ponte são exatamente isso, essencialmente um comutador virtual está conectado entre a VM e sua conexão de rede física.

As conexões NAT também são apenas isso, em vez de um comutador, um roteador NAT está entre a VM e sua conexão de rede física.

Com uma conexão NAT, o computador host (sua máquina física principal) está agindo como um roteador / firewall. A VM seleciona a interface de rede do host e todos os pacotes de / para a VM são roteados por ela. Como o computador host realmente vê pacotes IP e datagramas TCP, pode filtrar ou afetar o tráfego.

Quando a VM está usando o modo de ponte, está se conectando à rede através do host em um nível inferior (Camada 2 do modelo OSI). A máquina host ainda vê o tráfego, mas apenas no nível do quadro Ethernet. Portanto, não é possível ver de onde o tráfego está chegando / ou que tipo de dados está contido nesse tráfego.