背景

在多数网络环境中，设备通过路由器连接到互联网，路由器使用 NAT（网络地址转换） 将多个内网设备共享一个公网 IP。

由于 NAT 的限制，内网设备通常无法被互联网直接访问。这种情况下，需要使用 内网穿透 技术来解决。

NAT（网络地址转换，Network Address Translation）的限制主要体现在阻止了外网直接访问内网设备的能力，这是内网穿透技术需要解决的核心问题。

NAT 限制的具体表现

内网设备没有公网 IP

NAT 通过一个公网 IP 地址，让内网的多个设备共享访问外网的能力。

内网设备（如 192.168.x.x 或 10.x.x.x）使用私有 IP 地址，这些地址在公网中是不可路由的?，因此外网设备无法直接向内网设备发起连接。

只能建立“从内到外”的连接

NAT 的典型行为是：只有内网设备主动向外网设备发起连接时，外网设备才能通过 NAT 设备（如路由器）对内网设备进行回应。

如果外网设备主动向内网设备发起连接，NAT 会拒绝该请求。

动态端口映射

NAT 使用动态端口映射（PAT，端口地址转换），为内网设备的每个外向连接分配一个临时的公网端口。

内网设备的临时公网端口由 NAT 设备分配，外网设备无法预知该端口号，因此无法直接建立连接。

没有为内网设备维护路由表

NAT 不会维护从公网到内网的路由表，无法将外网设备的流量直接转发到特定内网设备。