Diferenças entre rede em ponte e NAT

Como o NAT funciona em poucas palavras

Um endereço externo, geralmente roteável, é o "fora" do NAT. As máquinas por trás do NAT têm um endereço "interno" que geralmente é não-roteável . Quando uma conexão é feita entre um endereço interno e um endereço externo, o sistema NAT no meio cria uma entrada de tabela de encaminhamento que consiste em (outside_ip, outside_port, nat_host_ip, nat_host_port, inside_ip, inside_port). Qualquer pacote que corresponda às primeiras quatro partes terá seu destino reescrito para as duas últimas partes.

Se um pacote for recebido que não corresponda a uma entrada na tabela NAT, não haverá como a caixa NAT saber para onde encaminhar, a menos que uma regra de encaminhamento tenha sido definida manualmente. É por isso que, por padrão, uma máquina atrás de um dispositivo NAT é "protegida".

Conectado

O modo em ponte atua exatamente como a interface que você está conectando agora é um switch e a VM é conectada a uma porta. Tudo funciona da mesma forma como se fosse outra máquina comum ligada a essa rede.

Com o NAT, os IPs das máquinas virtuais e a rede à qual seu host está se conectando são separados. Ou seja, suas VMs estão em uma sub-rede diferente. Você pode acessar a rede porque seu host está fazendo a Tradução de endereços de rede (se você não sabe o que é O que é NAT restrito, moderado e aberto? ). O IP é atribuído por um DHCP em execução no host

Com uma interface em ponte, suas máquinas virtuais estão diretamente conectadas à rede à qual a interface de rede que estão usando está conectada. Isso significa, no seu caso, que eles estarão diretamente conectados à rede à qual seu host se conecta, obtendo endereços IP do servidor DHCP em execução na rede (o que provavelmente também dá ao seu host seu IP).

Agora, por que você não pode acessar essas máquinas:

Porque você precisaria ativar o encaminhamento de porta no segmento NAT. O NAT traduz seus IPs de máquinas virtuais para um único IP. As conexões de entrada devem ser roteadas com encaminhamento de porta, pois o host não pode saber para qual máquina virtual a conexão se destina.

Embora o NAT possa fornecer alguma proteção, ele não é um firewall, pelo mesmo motivo acima (ao usar o NAT, os hosts de entrada não podem se conectar, a menos que o portforwarding esteja habilitado). No entanto NAT não é segurança ( link ).

NAT tem alguns efeitos colaterais que se assemelham a mecanismos de segurança comumente usados na borda da rede. Isso NÃO faz disso um recurso de segurança, ainda mais porque existem muitas variantes de NAT.

Conexões em ponte são apenas isso, essencialmente, um comutador virtual é conectado entre a VM e sua conexão de rede física.

As conexões NAT também são apenas isso, em vez de um switch roteador NAT está entre a VM e seu computador físico conexão de rede.

Com uma conexão NAT, o computador host (sua máquina física principal) está agindo como um roteador / firewall. A VM desliga a interface de rede do host e todos os pacotes de / para a VM são roteados por meio dela. Como o computador hospedeiro realmente vê pacotes IP e datagramas TCP, ele pode filtrar ou afetar o tráfego.

Quando a VM está usando o modo em ponte, ela está se conectando à rede por meio do host em um nível inferior (Camada 2 do modelo OSI). A máquina host ainda vê o tráfego, mas apenas no nível do quadro Ethernet. Por isso, não é possível ver de onde o tráfego está vindo ou de que tipo de dados está contido nesse tráfego.