内网穿透原理与实现

创作时间:

作者:

@小白创作中心

内网穿透原理与实现

引用

来源

https://www.bilibili.com/read/cv34851525/

内网穿透是一种常见的网络技术，主要用于解决外部网络访问内部网络资源的问题。本文将系统地介绍内网穿透的原理与实现方法，包括公网IP+端口映射、DDNS、组网、反向代理等多种技术方案。

开篇

之前分享的都是搭载在N1盒子之上的，包括异地组网，内网穿透，网络加速这些功能，接下来我会分享一下内网穿透原理和实现。

首先声明：视频和文章不涉及我的任何产品和开源项目，是纯粹的技术分享

我初步规划包括以下六个内容：

我们为什么需要内网穿透，只有了解问题是什么我们才能解决问题
用公网IP+端口映射实现内网穿透
DDNS是什么，解决什么问题，如何实现的，
通过组网解决内网穿透（这是zerotier，wireguard这类软件的思路）
通过反向代理解决内网穿透（这是frp，ngrok这类软件的思路）
总结

希望通过这六期的内容能把内网穿透是如何实现的讲清楚，最后看视频效果以及我个人时间安排，如果大家都感兴趣我们后续可以一起动手写一个开源的内网穿透，但是重复造轮子于我个人或者社区意义都不大，我们可以往零信任的方向去靠拢，给内网穿透加上零信任的身份认证技术，这样我们就可以尝试着去解决内网穿透带来的安全隐患，这也是目前很多零信任产品的实现思路。

为什么需要内网穿透

针对这个问题，我们先来看一下我们平时是怎么上网的。这个是我们的平时上网的网络拓扑，我们包含我们的手机，电脑，通过Wi-Fi连接路由器，路由器再拨号上网。

以我们访问https://1.1.1.1 为例子，我这里只挑重点讲

流量经过路由器，中间的ARP和链路层地址填充的部分我们不需要关注
在路由器上通过WAN口出去，这时候路由器会做一层SNAT，也就是源地址转换，把这个数据包的源IP从192.168.1.179替换为1.2.3.4，源端口也有可能会被换成其他端口，这里有一个核心的操作是记录这个转换关系表。
流量出运营商，到达1.1.1.1的服务器
1.1.1.1处理之后返回
流量到达路由器之后，路由器查询之前的转换关系表，做一层DNAT，把这个数据包的目的IP替换成192.168.1.179，目的端口也有可能被修改
最终流量到达我们的手机。

这是我们主动访问的场景，这里的关键在于路由器做的SNAT和DNAT以及记录转换关系表

那么回到内网穿透，内网穿透是外部主动访问我们的场景，有的朋友可能就会说了，既然1.1.1.1的数据包都能够回到我们手机了，外部应该也能访问才对。

这里就不得不再重复提到路由器记录的转换关系表，数据包回来的时候是需要查这个转换关系表的，而针对外部主动访问内部的场景，我们也简单说明说明。