Différences entre ponté et NAT réseau

Comment NAT fonctionne en bref

Une adresse externe, généralement routable, est "l'extérieur" du NAT. Les machines derrière le NAT ont une adresse "intérieure" qui est généralement non routable . Lorsqu'une connexion est établie entre une adresse intérieure et une adresse extérieure, le = NAT système au milieu crée une entrée de table de transfert composée de (outside_ip, outside_port, nat_Host_ip, nat_Host_port, inside_ip, inside_port). Tout paquet correspondant aux quatre premières parties obtient sa destination réécrite dans la dernière deux parties.

Si un paquet est reçu qui ne correspond pas à une entrée dans la table NAT, alors il n'y a aucun moyen pour la boîte NAT de savoir où le transférer) sauf si une règle de transfert a été définie manuellement. C'est pourquoi, par défaut, une machine derrière un appareil NAT est "protégée".

Ponté

Le mode ponté agit exactement comme l'interface avec laquelle vous vous connectez est maintenant un commutateur et le VM est branché sur un port sur celui-ci. réseau.

Avec NAT les adresses IP des machines virtuelles et du réseau auquel votre hôte se connecte sont séparées. Cela signifie que vos machines virtuelles se trouvent sur un sous-réseau différent. Vous pouvez accéder au réseau car votre hôte effectue la traduction d'adresses réseau (si vous ne savez pas ce que c'est Qu'est-ce qu'un NAT strict, modéré et ouvert? ). L'IP est attribuée par un DHCP exécuté sur l'hôte

Avec une interface pontée, vos machines virtuelles sont directement connectées au réseau auquel l'interface réseau qu'elles utilisent est connectée. Cela signifie dans votre cas qu'ils seront directement connectés au réseau auquel votre hôte se connecte, obtenant des adresses IP du serveur DHCP exécuté sur le réseau (ce qui donne probablement également à votre hôte son IP).

Maintenant, pourquoi ne pouvez-vous pas accéder à ces machines:

Parce que vous devez activer le portforwarding sur le segment NAT. Le NAT traduit les adresses IP de vos machines virtuelles en une seule IP. Les connexions entrantes doivent être routées avec portforwarding car l'hôte ne peut pas savoir pour quelle machine virtuelle la connexion est destinée.

Alors que NAT peut fournir une certaine protection, ce n'est pas un pare-feu, pour la même raison que ci-dessus (lors de l'utilisation de NAT, les hôtes entrants ne peuvent pas se connecter à moins que la redirection de port ne soit activée). Cependant NAT n'est PAS SÉCURITÉ ( http://blog.ioshints.info/2011/12/is-nat-security-feature.html ).

NAT a des effets secondaires qui ressemblent aux mécanismes de sécurité couramment utilisés sur le réseau Edge. Cela n'en fait PAS une fonction de sécurité, d'autant plus qu'il existe de nombreuses variantes de NAT.

Les connexions pontées ne sont que cela, essentiellement un commutateur virtuel est connecté entre le VM et votre connexion réseau physique).

Les connexions NAT ne sont également que cela, au lieu d'un commutateur, un routeur NAT est entre le VM et votre connexion réseau physique).

Avec une connexion NAT, l'ordinateur hôte (votre machine physique principale) se comporte comme un routeur/pare-feu. Le VM ferroutages de l'interface réseau du L'hôte et tous les paquets vers/depuis le VM sont acheminés via celui-ci. Puisque l'ordinateur hôte voit réellement les paquets IP et les datagrammes TCP, il peut filtrer ou autrement affecter le trafic.

Lorsque le VM utilise le mode ponté, il se connecte au réseau via l'hôte à un niveau inférieur (couche 2 du modèle OSI). La machine hôte voit toujours le trafic, mais uniquement au niveau Niveau de trame Ethernet. Il ne peut donc pas voir d'où vient/va le trafic ni quel type de données est contenu dans ce trafic.