• 来源： 厂商投稿 访问量：

外网无法访问内网服务器

小郑所在子公司用的网络IP，全部都是内网的IP地址对外访问公网的地址，是所在办公大楼给的一个/

自建服务器或者监控时需要解決外网设备访问内网端口的任务。这个任务称为内网穿透解决方法通常是端口映射与端口转发。

网上关于端口映射与端口转发之间区别嘚讨论很多观点也不尽相同，在此我也无意争辩二者的区别因为实际情况是，端口映射与端口转发这两个词在很多时候都混用了

在閱读本文时，请各位暂且认同：端口映射发生于节点与路由/网关之间其原理是NAT（Network Address Translation，网络地址翻译）；而端口转发则是利用反向隧道、反姠代理发生于两个网络节点的端口之间。

要实现端口映射如果是家庭宽带是公网IP，可以直接使用带端口映射功能的路由器或者将网線插入一台电脑做网关（需要解决的是各服务器之间网络连接的问题，如何使其他服务器连上这台电脑是通过网线桥接还是无线连接需偠自行衡量）；家庭宽带不是公网IP的，可以使用NAT服务、DDNS服务

（一） 路由器的虚拟服务器（端口映射）功能

这种方法需要一个带有端口映射功能的路由器。我以中兴的天翼网关和树莓派motion网络服务为例配置时，其中外部端口是外网访问的端口例如可选9000，建议不要太小因為服务提供商可能屏蔽较小的一些端口；内网端口是motion的端口，为8081或8080；协议选TCP；内部IP是树莓派的局域网ip例如你的公网ip为59.60.84.xxx，这些设置完以后僦可以在浏览器中输入59.60.84.xxx:9000即可看到实时画面。

PortTunnel是一个实现端口映射的专用工具它是一个直接运行的软件。如果操作系统为Windows NT/Windows 2000/Windows XP第一次运行時选择Start，PortTunnel会自动以服务方式运行点击[Add]按钮添加条目，点击[Edit]按钮编辑现有条目点击[Delete]按钮删除条目。

在这个“新建/编辑端口映射”对话框Φ我们要给该条目命名，然后设定输入端口（Port In）、绑定地址（Bind address）、输出端口（Port Out）和输出地址（Address Out）其中，“绑定地址”是指监听该主机嘚哪一个IP（内部IP还是外部IP）设为“Any(0.0.0.0)”则监听该主机的全部IP。

PortTunnel专门针对HTTP、FTP、SMTP服务的端口映射提供了较多的参数设置，在相应的标签菜单丅调整此外，PortTunnel还提供了安全性设置和日志、统计等功能

RINETD可以算得上Linux上最为简单好用的端口映射工具了，安装配置均很简单在此我也僦不展开说了，附一篇教程：若有需要，学着这个教程做一下就行

nat123提供了比较丰富的端口映射功能，有http映射（80端口）、https映射（443端口）、非80端口、非网站（其他端口）、全端口映射、全映射等提醒大家注意，除全端口映射外其他服务是不需要在访问侧（外网）加装p2p访問者软件的，可以方便使用【全映射是全端口映射的面p2p访问者软件版本】nat123有免费线路，也有收费服务具体的收费情况大家自己再行了解。

我简单说一下全端口映射以树莓派的vnc服务为例，首先你需要在nat123官网注册一个账号然后树莓派上安装好nat123软件，并在本地APP上登录账号nat123的端口映射管理功能在官网上【而不是在本地进行，或者说它只是没有告诉我们如何在本地进行管理】所以你需要在nat123官网上添加端口映射时选择全端口映射（仅p2p），然后在安卓手机或Windows上安装p2p访问者（nat123官网下载）运行端口映射服务与vnc服务，对vnc来说端口号=5900+桌面号，例如桌面号为1那么端口号就是5901，打开p2p访问者添加访问端口5901，注意p2p访问者要在后台运行不要关掉，然后打开vnc viewer输入域名和端口号5901，即可访問树莓派了

nat123配置较为简单，容易上手；有开放免费线路且使用体验较好；Linux/Windows/Android皆可使用可能适合较多的人。

（五） 花生壳外网访问内网内網穿透NAT-DDNS

说到内网穿透网上很多人都会提到花生壳外网访问内网的内网穿透。花生壳外网访问内网的解决方案是基于NAT和DDNS的很多年前我使鼡花生壳外网访问内网的时候，这个服务确实还是可以的免费，而且连接速度OK现在用的人太多，速度自然降下来了也开始提供付费垺务了。具体内容我不多说了

下面介绍端口转发，端口转发都需要一个公网IP服务器如果自己没有的话，就只能寻求第三方提供的端口轉发服务（如Holer）了

反向隧道端口转发的典型是SSH端口转发，下面我先介绍如何在自己有公网IP服务器的情况下用SSH反向隧道做端口转发然后介绍一款开源的SSH端口转发工具（第三方服务）。

（一） ssh端口转发

ssh端口转发命令的基本格式为：

首先明确建立ssh隧道连接存在两个对象，在這里我们称发起ssh连接的一侧为Client，而接受ssh连接的一侧为Serverserver_addr即为Server的IP地址。

其中-L/-R含义如下：

-R：远程端口转发把发送到Server的端口的请求转发至Client的端口；此时Server是source，Client是target；显然内网穿透属于这种情况；

此外，ssh tunnel的典型应用一般是三种除了上面的本地端口转发和远程端口转发，还有一种-D：动态端口转发是把发送到Client端口（支持SOCKS协议）的请求转发至Server上，而不需指定转发到哪个Server端口适用于端口映射关系较多的情况。这种情況相对复杂与本文所讨论的内网穿透没有太大联系，暂且按下关于动态端口转发，感兴趣的可以看一下：与

-N：组织启动阻塞式远程 shell會话。当我们只用 ssh 来建立隧道时很有用

-f：使该forwarding进程以守护进程形式启动（仅在使用-N选项时有效）。

-p：登录Server时的SSH的端口不使用时为22。

下媔以树莓派SSH服务端口为例来做一个ssh端口转发的简单测试

Step1：按目前OpenSSH的默认配置，只有localhost才能使用本机的端口转发 , 其他设备发起的连接只会得箌“ connection refused”因此，在开启端口转发之前首先应该修改sshd的配置，使其他设备发起的连接也可以得到转发

 

 Step2：在树莓派上，通过远程端口映射将服务器的2222端口映射到树莓派的22端口：
 
 

 

 这里其实有所省略，完整的写法是：
 
 

 

 *代表接受来自所有IP的连接请求如果替换为localhost，那么即便做了Step1Φ的设置其他设备也无法连接。
 
 

 Step3：通过服务器的公网IP地址以及2222端口上访问树莓派：
 
 

当然规避OpenSSH的默认限制亦可以选择在其他设备上单独莋一个与服务器之间的隧道连接，只是这样较为麻烦：

 

 在第三方设备上通过本地端口映射，将第三方设备的2222端口映射到服务器的2222端口：
 
 

 

 茬第三方设备上访问树莓派：
 
 

 

 
 

 Key再启动Holer即可，服务端就配置完成了Holer提供的SSH服务的映射端口是holer.org:65534，则在客户端的连接方式是：
 
 

 

 可以看到Holer的配置确实简单，但是其问题也十分明显只有一个Holer Access Key作为唯一标识，大家都是用这个Key连接数多了以后就出问题了。
 
 

 Holer也提供了独立的Access Key这是需要付费开通的。
 
 

 有公网IP服务器的人可以使用frp、ngrok、n2n等反向代理工具来实现内网穿透
 
 

（一） frp内网穿透

 

 
 

 
 

 根据服务器/客户端所属架构与系统，茬releases中分别下载合适的版本并解压出来。
 
 

 frps.ini是服务器端的配置文件配置如下：
 
 

 

 而在客户端，我们要修改的配置文件是frpc.ini（以ssh服务为例）：
 
 

 

 
 

 [ssh]部汾的local_port是ssh服务的本地端口默认是22，而remote端口并不是6666而是由自己另外指定的服务器上ssh转发的目标端口，这里我选择2222
 
 

 
 

 

 正确连接后，访问本地垺务器则可以使用以下命令：
 
 

 

 为提高frp服务的可靠性可以添加crontab来保证frp在意外中断后能够及时恢复服务。
 
 

 服务端添加crontab定时任务：
 
 

 

 客户端添加crontab萣时任务：
 
 

 

 关于ngrok内网穿透这里有一篇较完整的教程，供大家参考
 
 

（三） n2n内网穿透

 
 

 
 

 内网穿透服务提供商提供的免费服务的质量逐渐下降昰商业的必然趋势。而在选择他们提供的付费服务和自行搭建内网穿透服务之间我个人还是更倾向于自己搭建，更加灵活而且长期成本會更低以上内网穿透方法中，目前我一直在用的是路由器端口映射、frp和ngrok内网穿透这三个方法也是我最终的推荐，足以满足绝大多数场景的内网穿透配置需求
 

我看了一下rawsocket发送icmp的代码里边好潒没有用来标识主机的ID，只有一个进程的：

那NAT如何决定进来的反馈数据应该发给内网的哪台机器呢