Diferencias entre redes puenteadas y NAT

29

No entiendo completamente las diferencias entre NAT y una conexión puenteada sobre una máquina virtual. Por lo que he encontrado, las máquinas que están en la misma red con nuestra máquina host pueden acceder a nuestra máquina virtual si hacemos una conexión en puente.

Bueno, en Internet, la gente escribe que tanto las máquinas virtuales NAT como las puenteadas pueden tener una dirección IP como una máquina host, pero si es NAT, las máquinas que están en la misma red NO pueden acceder a nuestra máquina virtual, pero si están conectadas, entonces pueden .

Si las conexiones NAT y puenteadas pueden tener direcciones IP diferentes, ¿por qué no puedo acceder a una dirección NAT mientras puedo acceder a una dirección puenteada?

Nota: declarar que las conexiones NAT están protegidas es insuficiente; Quiero saber cómo es eso.

oguzhanunlu
fuente
1
El puente opera en la capa 2, mientras que NAT opera en la capa 3, por lo que requiere algún tipo de enrutamiento. en.m.wikipedia.org/wiki/Network_layer
EEAA
1
@EEAA ... pero eso no explica por qué el enrutamiento no funciona para un host externo.
Jeff Ferland
1
NAT cambiará la dirección IP de su VM de algo así como 172.xxx a 192.xxx . Sin embargo, Bridged le dará a su VM su propia dirección IP pública (como 172.xxx).
IgorGanapolsky

Respuestas:

24

Cómo funciona NAT en pocas palabras

Una dirección externa, generalmente enrutable, es el "exterior" de la NAT. Las máquinas detrás de NAT tienen una dirección "interna" que generalmente no es enrutable . Cuando se realiza una conexión entre una dirección interna y una dirección externa, el sistema NAT en el medio crea una entrada de tabla de reenvío que consiste en (outside_ip, outside_port, nat_host_ip, nat_host_port, inside_ip, inside_port). Cualquier paquete que coincida con las primeras cuatro partes obtiene su destino reescrito en las últimas dos partes.

Si se recibe un paquete que no coincide con una entrada en la tabla NAT, no hay forma de que el cuadro NAT sepa dónde reenviarlo a menos que se haya definido manualmente una regla de reenvío. Es por eso que, por defecto, una máquina detrás de un dispositivo NAT está "protegida".

Puenteado

El modo puente actúa de la misma manera que la interfaz con la que está conectando ahora es un conmutador y la VM está conectada a un puerto. Todo actúa igual que si fuera otra máquina normal conectada a esa red.

Jeff Ferland
fuente
10

Con NAT, las direcciones IP de las máquinas virtuales y la red a la que se conecta su host están separadas. Lo que significa que sus máquinas virtuales están en una subred diferente. Puede acceder a la red porque su host está haciendo Traducción de direcciones de red (si no sabe qué es ¿Qué es NAT estricto, moderado y abierto? ). La IP es asignada por un DHCP que se ejecuta en el host

Con una interfaz puenteada, sus máquinas virtuales están conectadas directamente a la red a la que está conectada la interfaz de red que están utilizando. Esto significa en su caso que se conectarán directamente a la red a la que se conecta su host, obteniendo direcciones IP del servidor DHCP que se ejecuta en la red (que probablemente también le da a su host su IP).

Ahora, ¿por qué no puede acceder a estas máquinas?

Porque necesitaría habilitar el reenvío de puertos en el segmento NAT. El NAT traduce las IP de sus máquinas virtuales a una sola IP. Las conexiones entrantes deben enrutarse con reenvío de puertos, ya que el host no puede saber a qué máquina virtual se refiere la conexión.

Si bien NAT puede proporcionar cierta protección, no es un firewall, por la misma razón que antes (cuando se usa NAT, los hosts entrantes no pueden conectarse a menos que el reenvío de puertos esté habilitado). Sin embargo, NAT NO ES SEGURIDAD ( http://blog.ioshints.info/2011/12/is-nat-security-feature.html ).

NAT tiene algunos efectos secundarios que se asemejan a los mecanismos de seguridad comúnmente utilizados en el borde de la red. Eso NO lo convierte en una característica de seguridad, más aún ya que hay tantas variantes de NAT.

Lucas Kauffman
fuente
9

Las conexiones en puente son solo eso, esencialmente un conmutador virtual está conectado entre la VM y su conexión de red física.

Las conexiones NAT también son solo eso, en lugar de un conmutador, hay un enrutador NAT entre la VM y su conexión de red física.

Chris S
fuente
3

Con una conexión NAT, la computadora host (su máquina física principal) está actuando como un enrutador / firewall. La VM se conecta a la interfaz de red del host y todos los paquetes hacia / desde la VM se enrutan a través de ella. Dado que la computadora host realmente ve los paquetes IP y los datagramas TCP, puede filtrar o afectar el tráfico.

Cuando la VM usa el modo puente, se conecta a la red a través del host en un nivel inferior (Capa 2 del modelo OSI). La máquina host todavía ve el tráfico, pero solo a nivel de trama de Ethernet. Por lo tanto, no se puede ver de dónde viene / va el tráfico o qué tipo de datos contiene ese tráfico.

jamieb
fuente