python - 在 NAT 后面的两台计算机之间建立连接

Question

我正在尝试在 NAT 后面的两台计算机之间建立连接。我无法打开任何端口。我想使用一个可以上网并且可以与另外两个人进行交流的经纪人。之后，我想在这两者之间建立一条隧道。我正在使用 Python 并且我正在尝试编写此代理的代码。我该如何开始？

Answer 1

您想要做的事情是可能的，而且几乎是例行公事(至少对于 UDP 而言)。这称为 NAT 打洞。它不适用于世界上的每一个 NAT，但它适用于许多，包括大多数当前家庭路由器的大多数设置。

基本思想是，对于大多数路由器，如果您发送传出数据包，它会将来自同一端点的任何传入数据包转发回您。否则，NAT 根本不起作用，对吧？所以，如果你和我试图同时与彼此的公共(public)地址交谈，我们中的一个人将及时在他的 NAT 中“打一个洞”来接收消息。另一个人可能会错过最初的消息，因为他打洞太晚了，但他会收到另一个人发送的下一个回复，之后，一切正常。

然而，这里有一些技巧。

首先，您需要知道您的公共(public)地址。您可以直接看到的是您在 NAT 内部的私有(private)地址，因此您需要一个位于 NAT 外部的服务器，它可以告诉您您来自哪里。对此有一个标准，称为 STUN .您不仅可以自行构建和运行多个免费实现，而且互联网上还有多个开放的 STUN 服务器；谷歌更新列表。

至少，你有一个私有(private)地址和你的公共(public)地址，而且你真的想给另一个人所有，而不仅仅是一个。 (如果你只给我你的公共(public)地址，结果我们在同一个 NAT 上，我们可能无法互相交谈。)如果你有多个 NIC，情况会变得更加复杂，或者你是在具有多层 NAT 等的公司 LAN 上。但是如果你给我一大堆地址，我怎么知道使用哪个？很简单，我可以尝试从我的每个本地地址连接到每个地址，第一个有效的是我一直使用的地址。我们显然需要某种协议(protocol)，以便您可以告诉我其中一个何时起作用，但这可能非常简单。

另外，请注意，当我在这里说“地址”时，这不仅仅意味着 IP 地址，而是 IP 地址加上端口。毕竟，NAT 可以并且确实将端口与地址一起转换，而您在 NAT 中打出的“洞”通常是特定于端口的。因此，您需要使用将用于实际通信的相同源端口和目标端口进行协商。 (实际上，这里有一些棘手的部分，链接文档对此进行了解释，但现在让我们浏览一下。)

当打洞不起作用时，您需要退回到通过服务器进行代理，您不希望该代码看起来完全不同；你最终不得不把所有的东西都写两次，并且在调试时会遇到很大的问题。幸运的是，有一个标准的解决方案，称为 TURN ，这使得同行看起来好像他们实际上是在直接交谈，即使他们通过中继交谈。同样有免费的实现，但当然没有开放的 TURN 服务器供您使用(因为这会花费大量带宽)。

同时，一旦你知道你的公共(public)地址，你就必须告诉我它是什么，反之亦然。显然，我们需要一些旁道来进行交谈，比如一个特殊的“介绍人”或“大厅”服务器。通常，您将点对点连接作为某些服务器中介连接的分支生成。例如，我们可能一起在一个 IRC channel ，或一个 XMPP/Jabber 聊天网络，并决定我们想要一个点对点通信(以避免窃听，或共享巨大的电子表格文件，或玩没有大量落后)。

有一个标准叫做 ICE将这一切联系在一起；只要我们有一个共享的侧信道和一个 STUN(可能还有 TURN)服务器的列表，ICE 就让我们尽可能协商点对点连接(如果没有，则回退到 TURN)。

ICE 支持是 SIP 和许多其他协议(protocol)的一部分，因此，如果您正在使用这些协议(protocol)之一的库，您可能只需要找出如何为其提供 STUN 和 TURN 服务器列表，仅此而已。如果没有，可能有用于执行 ICE 的库。如果没有，肯定有用于执行 STUN 和 TURN 的库(如果没有，它们都是非常简单的协议(protocol))，因此您可以在它们之上自己进行协商。

当然，您不必使用这些标准中的任何一个，但您绝对应该阅读它们的作用以及它们为什么这样做。 (另外，请记住，人们现在专门制造路由器是为了让 ICE 更好地工作，而对于您发明的任何不同的东西，情况都不会如此。)

我已经链接到上面的 Wikipedia 文章，因为它们从对技术如何工作及其背后的基本原理的非常简单的概述开始。对于详细的引用规范、入门示例代码、要使用的库等，有更好的来源，但通常维基百科有指向您需要的所有其他内容的链接。