tcp包如何从外网向内网发起连接.

尘归尘土归土

我们用的是先由内网发一个syn包,这样在nat上建立一个通路,然后再由外部向内部连接.试验了很多次,总是不成功,从外部向内部的syn包总发不进去,但是我们向内部回应的伪造的syn+ack包却能发进去.不知道是为什么,我们没考虑路由器和防火墙的因素,是不是这两个东西也会有限制呢?

河里的鱼

不太清楚你的意思\r\n\r\n从外部向内部的syn肯定过不去

cwwhy

应该是被drop了吧，不太懂，怕楼上的枪，不得不回

河里的鱼

[quote]原帖由 \"cwwhy\"]应该是被drop了吧，不太懂，怕楼上的枪，不得不回[/quote 发表：\n\r\n\r\n   

尘归尘土归土

Characterization and Measurement of TCP Traversal through NATs and Firewalls   这是一篇关于穿透防火墙的文章,我是按照这上面的stunt #2方法做的.

platinum

楼主说的是打洞吧？\r\n我只见到过 UDP 的打洞，TCP 我认为不能这么做，因为 TCP 有自己的连接机制，和 UDP 是不同的\r\n这也就是为什么 内->;外 syn，但 内<-外 syn 不行的原因，因为在 NAT 设备看来，仅仅 内->;外 syn 并没有完成三次握手，在没有正确建立三次我后前，外面的数据包是进不来的，syn 更是一样

尘归尘土归土

是打洞啊，但是那篇文章上说测试过很多防火墙，大部分是可以使用这些方法实现tcp包的穿透的。但现在我们测试却不行，不知道是不是还要考虑包过滤和路由器的因素。

尘归尘土归土

顶一下。不然又沉下去了。

wonderliang

如果是防火墙，你的试验不成功\r\n如果是路由器作nat，应该可以成功\r\n因为防火墙即使有xlate，只能让随后的一个syn进入，用于三次握手，随后的syn都不能穿越了。\r\n\r\n\r\n还有，你是否用对了端口？如果是pat，而不是nat。

尘归尘土归土

用的是iptables做nat。我在机器上收到全部包的log里面看到了打洞后从外向内网发的包，但是在经过nat的log里面没看到包。估计是被过滤了。