Différences entre les réseaux pontés et NAT

29

Je ne comprends pas complètement les différences entre NAT et une connexion pontée sur une machine virtuelle. Pour autant que je l'ai trouvé, les machines qui sont sur le même réseau que notre machine hôte peuvent accéder à notre machine virtuelle si nous établissons une connexion pontée.

Eh bien, sur Internet, les gens écrivent que les machines virtuelles NAT et pontées peuvent avoir une adresse IP comme une machine hôte mais si c'est NAT, les machines qui sont sur le même réseau ne peuvent PAS accéder à notre VM mais si elles sont pontées, alors elles peuvent .

Si les connexions NAT et pontées peuvent avoir des adresses IP différentes, pourquoi ne puis-je pas accéder à une adresse NAT alors que je peux accéder à une adresse pontée?

Remarque: déclarer que les connexions NAT sont protégées est insuffisant; Je veux savoir comment c'est.

networking nat bridge oguzhanunlu
la source
1
Le pontage opère sur la couche 2, tandis que le NAT opère sur la couche 3, nécessitant ainsi une sorte de routage. en.m.wikipedia.org/wiki/Network_layer
EEAA
1
@EEAA ... mais cela n'explique pas pourquoi le routage ne fonctionne pas pour un hôte extérieur.
Jeff Ferland
1
NAT changera l'adresse IP de votre VM de quelque chose comme 172.xxx en 192.xxx . Cependant, Bridged donnera à votre machine virtuelle sa propre adresse IP publique (comme 172.xxx).
IgorGanapolsky

Réponses:

24

Comment NAT fonctionne en quelques mots

Une adresse externe, généralement routable, est "l'extérieur" du NAT. Les machines derrière le NAT ont une adresse "interne" qui est généralement non routable . Lorsqu'une connexion est établie entre une adresse interne et une adresse externe, le système NAT au milieu crée une entrée de table de transfert composée de (outside_ip, outside_port, nat_host_ip, nat_host_port, inside_ip, inside_port). Tout paquet correspondant aux quatre premières parties obtient sa destination réécrite dans les deux dernières parties.

Si un paquet est reçu qui ne correspond pas à une entrée dans la table NAT, alors il n'y a aucun moyen pour la boîte NAT de savoir où le transférer à moins qu'une règle de transfert n'ait été définie manuellement. C'est pourquoi, par défaut, une machine derrière un périphérique NAT est "protégée".

Ponté

Le mode ponté agit exactement comme l'interface avec laquelle vous pontez est maintenant un commutateur et la machine virtuelle est connectée à un port. Tout agit de la même manière que s'il s'agissait d'une autre machine normale connectée à ce réseau.

Jeff Ferland
la source
10

Avec NAT, les adresses IP des machines virtuelles et le réseau auquel votre hôte se connecte sont séparés. Cela signifie que vos machines virtuelles se trouvent sur un sous-réseau différent. Vous pouvez accéder au réseau car votre hôte effectue la traduction d'adresses réseau (si vous ne savez pas ce que c'est. Qu'est- ce qu'un NAT strict, modéré et ouvert? ). L'IP est attribuée par un DHCP exécuté sur l'hôte

Avec une interface pontée, vos machines virtuelles sont directement connectées au réseau auquel l'interface réseau qu'elles utilisent est connectée. Cela signifie que dans votre cas, ils seront directement connectés au réseau auquel votre hôte se connecte, obtenant des adresses IP du serveur DHCP exécuté sur le réseau (ce qui donne probablement aussi à votre hôte son IP).

Maintenant, pourquoi ne pouvez-vous pas accéder à ces machines:

Parce que vous devez activer le transfert de port sur le segment NAT. Le NAT traduit les adresses IP de vos machines virtuelles en une seule adresse IP. Les connexions entrantes doivent être routées avec le transfert de port car l'hôte ne peut pas savoir de quelle machine virtuelle la connexion est destinée.

Bien que NAT puisse fournir une certaine protection, ce n'est pas un pare-feu, pour la même raison que ci-dessus (lors de l'utilisation de NAT, les hôtes entrants ne peuvent pas se connecter à moins que la redirection de port ne soit activée). Cependant, NAT n'est PAS SÉCURITÉ ( http://blog.ioshints.info/2011/12/is-nat-security-feature.html ).

NAT a des effets secondaires qui ressemblent aux mécanismes de sécurité couramment utilisés à la périphérie du réseau. Cela n'en fait PAS une fonction de sécurité, d'autant plus qu'il existe de nombreuses variantes de NAT.

Lucas Kauffman
la source
9

Les connexions pontées ne sont que cela, essentiellement un commutateur virtuel est connecté entre la machine virtuelle et votre connexion réseau physique.

Les connexions NAT ne sont également que cela, au lieu d'un commutateur, un routeur NAT se trouve entre la machine virtuelle et votre connexion réseau physique.

Chris S
la source
3

Avec une connexion NAT, l'ordinateur hôte (votre machine physique principale) agit comme un routeur / pare-feu. La VM se superpose à l'interface réseau de l'hôte et tous les paquets vers / depuis la VM sont routés à travers elle. Étant donné que l'ordinateur hôte voit réellement les paquets IP et les datagrammes TCP, il peut filtrer ou autrement affecter le trafic.

Lorsque la machine virtuelle utilise le mode ponté, elle se connecte au réseau via l'hôte à un niveau inférieur (couche 2 du modèle OSI). La machine hôte voit toujours le trafic, mais uniquement au niveau de la trame Ethernet. Il ne peut donc pas voir d'où vient / va le trafic ou quel type de données est contenu dans ce trafic.

jamieb
la source