ブリッジネットワークとNATネットワークの違い

NATと仮想マシン上のブリッジ接続の違いを完全には理解していません。私の知る限り、ホストマシンと同じネットワーク上にあるマシンは、ブリッジ接続を行うと仮想マシンにアクセスできます。

インターネットでは、NATとブリッジ仮想マシンの両方がホストマシンのようなIPアドレスを持つことができると書いていますが、NATの場合、同じネットワーク上にあるマシンはvmにアクセスできませんが、ブリッジされている場合は、 。

NAT接続とブリッジ接続の両方が異なるIPアドレスを持つことができる場合、ブリッジアドレスにアクセスできるのにNATアドレスにアクセスできないのはなぜですか？

注：NAT接続が保護されていると述べるだけでは不十分です。それがどのようなものか知りたい。

NATの概要

通常ルーティング可能な外部アドレスは、NATの「外部」です。NATの背後にあるマシンには、通常はルーティングできない「内部」アドレスがあります。内部アドレスと外部アドレス間で接続が確立されると、中間のNATシステムは（outside_ip、outside_port、nat_host_ip、nat_host_port、inside_ip、inside_port）で構成される転送テーブルエントリを作成します。最初の4つの部分に一致するパケットは、宛先が最後の2つの部分に書き換えられます。

NATテーブルのエントリと一致しないパケットを受信した場合、転送ルールが手動で定義されない限り、NATボックスが転送先を知る方法はありません。そのため、デフォルトでは、NATデバイスの背後にあるマシンは「保護」されています。

ブリッジド

ブリッジモードは、ブリッジしているインターフェイスがスイッチになったように機能し、VMがポートに接続されます。すべては、あたかもそのネットワークに接続されている別の通常のマシンであるかのように機能します。

NATを使用すると、仮想マシンのIPとホストが接続しているネットワークが分離されます。VMが別のサブネット上にあることを意味します。ホストがネットワークアドレス変換を実行しているので、ネットワークにアクセスできます（厳密、中程度、オープンNATとは何かを知らない場合）。IPは、ホストで実行されているDHCPによって割り当てられます

ブリッジインターフェイスを使用すると、仮想マシンは、使用しているネットワークインターフェイスが接続されているネットワークに直接接続されます。これは、あなたの場合、ホストが接続するネットワークに直接接続され、ネットワークで実行されているDHCPサーバーからIPアドレスを取得することを意味します（おそらくホストにもIPを提供します）。

では、なぜこれらのマシンにアクセスできないのでしょうか：

NATセグメントでポート転送を有効にする必要があるためです。NATは、仮想マシンのIPを単一のIPに変換します。ホストは接続の意味する仮想マシンを知ることができないため、着信接続はポートフォワーディングでルーティングする必要があります。

NATはある程度の保護を提供できますが、ファイアウォールとは異なりますが、上記と同じ理由で（NATを使用する場合、ポートフォワーディングが有効になっていないとインバウンドホストは接続できません）。ただし、NATはセキュリティではありません（http://blog.ioshints.info/2011/12/is-nat-security-feature.html）。

NATには、ネットワークエッジで一般的に使用されるセキュリティメカニズムに似た副作用があります。NATのバリエーションが非常に多いため、セキュリティ機能にはなりません。

ブリッジ接続とは、VMと物理ネットワーク接続の間に本質的に仮想スイッチが接続されていることです。

NATで接続された接続も、スイッチではなく、VMと物理ネットワーク接続の間にNATルーターがあります。

NAT接続では、ホストコンピューター（プライマリ、物理マシン）はルーター/ファイアウォールのように機能します。VMはホストのネットワークインターフェースに便乗し、VMとの間でやり取りされるすべてのパケットはそこを経由してルーティングされます。ホストコンピュータは実際にIPパケットとTCPデータグラムを見るため、トラフィックをフィルタリングしたり、影響を与えたりする可能性があります。

VMがブリッジモードを使用している場合、VMは下位レベルのホスト（OSIモデルのレイヤー2）を介してネットワークに接続しています。ホストマシンはトラフィックを引き続き表示しますが、イーサネットフレームレベルでのみです。そのため、トラフィックの送信元/送信先、またはそのトラフィックに含まれるデータの種類を確認できません。