NAT 穿透讓你的內部網路服務輕鬆"破牆而出"

一、什麼是內網穿透（NAT 穿透）？
在現代網路環境中，絕大多數家庭和企業都透過路由器（NAT 設備）連接網路。 NAT（Network Address Translation，網路位址轉換）允許多個內網設備共用一個公網 IP，但也帶來了一個問題：外部網路無法直接存取內網主機。內網穿透（NAT 穿透）是指讓外部網路能夠存取位於 NAT 後方的內部網路主機的技術。

常見應用場景包括：

遠端桌面、遠端 SSH
內部網站、家庭NAS、服務對外發布
遠端監控、物聯網設備管理
二、NAT 穿透的工作原理
NAT 設備會將內網主機的私人 IP 位址轉換為公網 IP 位址，並維護一個位址對映表。問題：外部主機無法主動發起連線到 NAT 後的內部主機，因為 NAT 不知道如何將封包轉送到內部網路。

穿透的核心思想：

讓內網主機主動與外部伺服器建立連線（通常是公有網路伺服器）
外部主機透過此伺服器「中轉」或「協商」與內網主機通訊


三、常見的內網穿透方法
1. 連接埠對映（Port Forwarding）
在路由器/NAT 設備上手動配置，將某個連接埠的流量轉送至內部網路主機。

優點：簡單且高效
缺點：需有路由器管理權限，不適用於動態 IP
2. 反向代理（Reverse Proxy）
內部主機主動連接到公網伺服器，公網伺服器作為代理轉送外部請求。

典型應用：ngrok、frp、花生殼等。

3. NAT 穿透技術
(1) STUN（Session Traversal Utilities for NAT）

主要用於 UDP 協議
內網主機透過 STUN 伺服器取得自己的公網位址和連接埠
適用於對稱 NAT 以外的大多數 NAT 類型
(2) TURN（Traversal Using Relays around NAT）

當 STUN 失敗時，使用 TURN 伺服器中繼所有流量
適用於所有 NAT 類型，但頻寬消耗大

(3) UPnP（通用即插即用）

內部網路主機請求路由器自動配置連接埠映射
需要路由器支援並開啟 UPnP 功能
(4) P2P 打洞（UDP/TCP Hole Punching）

雙方主機同時向對方發送資料包，利用 NAT 的「連線追蹤」特性建立直連
需要第三方伺服器協助“牽線”

四、常用的內網穿透工具
1. frp（Fast Reverse Proxy）
frp是一款開源、高效能的反向代理應用，支援 TCP、UDP、HTTP、HTTPS 等多種協議，適合自建內網穿透服務。

2. ngrok
ngrok支援 HTTP、TCP 等協定的內網穿透，提供公網存取位址，適合臨時偵錯和演示，有官方和第三方開源版本，商業版可直接使用。

3. 花生殼（Oray）
國內知名的內網穿透服務，它可以將位於內網的設備或服務暴露在公網上，使用戶可以透過公網存取這些設備或服務，提供客戶端和雲端服務，適合小白用戶。


4. Zerotier、Tailscale
虛擬組網工具，透過 P2P 技術實現內網穿透，適合組成虛擬區域網，實現多地互聯。

5. OpenVPN、WireGuard
虛擬私人網路（VPN）方案，透過 VPN 隧道實現內部網路互通，安全性高（加密傳輸）。