一、什么是內網穿透（NAT 穿透）？

在現代網絡環境中，絕大多數家庭和企業都通過路由器（NAT 設備）連接互聯網。NAT（Network Address Translation，網絡地址轉換）允許多個內網設備共享一個公網 IP，但也帶來了一個問題：外部網絡無法直接訪問內網主機。內網穿透（NAT 穿透）就是指讓外部網絡能夠訪問位于 NAT 后面的內網主機的技術。

常見應用場景包括：

• 遠程桌面、遠程 SSH
• 內網網站、家庭NAS、服務對外發布
• 遠程監控、物聯網設備管理

二、NAT 穿透的工作原理

NAT 設備會將內網主機的私有 IP 地址轉換為公網 IP 地址，并維護一個地址映射表。問題：外部主機無法主動發起連接到 NAT 后的內網主機，因為 NAT 不知道如何將數據包轉發到內網。

穿透的核心思想：

• 讓內網主機主動與外部服務器建立連接（通常是公網服務器）
• 外部主機通過該服務器“中轉”或“協商”與內網主機通信

三、常見的內網穿透方法

1. 端口映射（Port Forwarding）

在路由器/NAT 設備上手動配置，將某個端口的流量轉發到內網主機。

• 優點：簡單高效
• 缺點：需要有路由器管理權限，不適用于動態 IP

2. 反向代理（Reverse Proxy）

內網主機主動連接到公網服務器，公網服務器作為代理轉發外部請求。

典型應用：ngrok、frp、花生殼等。

3. NAT 穿透技術

(1) STUN（Session Traversal Utilities for NAT）

• 主要用于 UDP 協議
• 內網主機通過 STUN 服務器獲取自己的公網地址和端口
• 適用于對稱 NAT 以外的大多數 NAT 類型

(2) TURN（Traversal Using Relays around NAT）

• 當 STUN 失敗時，使用 TURN 服務器中繼所有流量
• 適用于所有 NAT 類型，但帶寬消耗大

(3) UPnP（通用即插即用）

• 內網主機請求路由器自動配置端口映射
• 需要路由器支持并開啟 UPnP 功能

(4) P2P 打洞（UDP/TCP Hole Punching）

• 雙方主機同時向對方發送數據包，利用 NAT 的“連接跟蹤”特性建立直連
• 需要第三方服務器協助“牽線”

四、常用的內網穿透工具

1. frp（Fast Reverse Proxy）

frp是一款開源、高性能的反向代理應用，支持 TCP、UDP、HTTP、HTTPS 等多種協議，適合自建內網穿透服務。

2. ngrok

ngrok支持 HTTP、TCP 等協議的內網穿透，提供公網訪問地址，適合臨時調試和演示，有官方和第三方開源版本，商業版可直接使用。

3. 花生殼（Oray）

國內知名的內網穿透服務，它可以將位于內網的設備或服務暴露在公網上，使用戶可以通過公網訪問這些設備或服務，提供客戶端和云端服務，適合小白用戶。

4. Zerotier、Tailscale

虛擬組網工具，通過 P2P 技術實現內網穿透，適合組建虛擬局域網，實現多地互聯。

5. OpenVPN、WireGuard

虛擬專用網（VPN）方案，通過 VPN 隧道實現內網互通，安全性高（加密傳輸）。