什么是内网穿透

内网穿透，也即 NAT 穿透，进行 NAT 穿透是为了使具有某一个特定源 IP 地址和源端口号的数据包不被 NAT 设备屏蔽而正确路由到内网主机。
通俗的讲，内网穿透其实就是两台计算机都处于不同的局域网之中，外网与内网的计算机节点需要连接通信，那么就需要借助内网穿透技术来解决这个问题，也叫NAT穿透。我们可能使用过的现有的软件，比如teamview,qq远程连接，都是基于内网穿透实现的。

使用场景

1.开发微信公众号，你可能跑了一个本地服务，还没有上线，但是需要调试，调试需要一个公网可以访问的域名。但是一般来说，外网访问不了你本地的服务。那么这个时候就可以通过一个公网服务器，通过端口转发，实现这个功能
2.周末在家，忽然接到通知，要跑一个服务器的脚本，或者改一段代码，脚本或者代码在公司的内网服务器，在家怎么访问呢？这个时候我们就可以用到ssh的隧道代理。

案例一： ngrok 其他参考

Ngrok 是一个反向代理软件，启动后会在公共服务器和本地客户端之间建立一个通道，并由公共服务器分配一个唯一的域名给这个通道。在 Homestead 中运行 Ngrok 之后，通过公共服务器分配的域名就可以在公网访问到 Homestead 中的站点，从而让支付宝和微信支付的服务器直接将回调数据发送到对应的回调接口。

• 注册地址点击注册

• 注册完毕 下载对应的文件

  
  在这里插入图片描述

• 我是在mac上使用的，直接下载一个压缩包，解压后里面就是执行文件
  1.解压

unzip /path/to/ngrok.zip

2.配置权限校验（authtoken 注册后会提供）

./ngrok authtoken xxxxxx

3.启动和查看帮助

# 查看帮助
./ngrok help
# 监听80端口
./ngrok http 80，-host-header表示你本地的域名，不用域名 直接访问端口也可以 ，-region us是指代理地址是美国 80代表80端口，除了协议和端口外，都是可以缺省的
# http 是连接协议，
ngrok http -host-header=shop.test -region us 80

• 代理本地的80端口

./ngrok http 80

ngrok by @inconshreveable                                                              (Ctrl+C to quit)

Session Status                online
#账户名
Account                       xxxx@gmail.com (Plan: Free)
Version                       2.3.40
# 这个是代理地址的国家
Region                        United States (us)

# 这个是web管理页面，可以查看访问信息
Web Interface                 http://127.0.0.1:4040
#这个就是代理地址，代理的是本地80端口
Forwarding                    http://14a4-222-129-1-243.ngrok.io -> http://localhost:80
Forwarding                    https://14a4-222-129-1-243.ngrok.io -> http://localhost:80

Connections                   ttl     opn     rt1     rt5     p50     p90
                              0       0       0.00    0.00    0.00    0.00

• 我们打开web地址看一下,就是4040端口

在这里插入图片描述

• 这时我们请求一个地址 发现报错了，说我的80端口不能访问，因为80端口没启用

• 在这里插入图片描述

• 终端console 的信息如下

  
  在这里插入图片描述

• 那我们用go 简单写一个可以使用的http 服务，20行代码。代码如下

package main

import (
    "io"
    "log"
    "net/http"
)
/**
 * @Description: 写一个简单版本的web服务
 */
func main()  {
    http.HandleFunc("/",Hello)//指定路由处理
    err:=http.ListenAndServe(":8889",nil)//建立端口监听服务
    if err !=nil{
        log.Fatal("ListenAndServe error:",err)
    }

}
//接收请求 返回hello world
func Hello(w http.ResponseWriter,req * http.Request)  {
    io.WriteString(w,"技术小虫说:hello word\n")
}

• 我们的程序监听的是8889端口，访问一下看看

  
  在这里插入图片描述

• 接下来我们把 ngrok 代理到8889端口

  
  在这里插入图片描述

• 可以正常相应8889

  
  在这里插入图片描述

在这里插入图片描述

案例二：ssh内网穿透

• 为了尽可能还原，我在我的电脑上创建一台ubuntu虚拟机，我的电脑(LocalA macos )和ubuntu(LocalB)虚拟机网络无法通信

• 一台有独立ip 的服务器(RemoteC)，我的电脑可以访问到，虚拟机也可以访问到

• 先来看一个简单版的本地端口转发(LocalA 执行)

ssh -L 2222:localhost:22 root@122.22.22.122 //当本地2222端口被访问的时候，请求会被转发RemoteC的22端口，需要输入RemoteC的密码 

guofu@guofu-Inspiron-3558 ~ $ ssh -p 2222 root@localhost
root@localhost's password: # 需要输入RemoteC的密码，因为是2222转发到了124的22

• 再来看一个远程接口转发(LocalB执行)

ssh -R 8080:localhost:80 root@122.22.22.122  # RemoteC访问8080端口 会被转发到LocalB的80端口，这个其实就是 ngrok的实现方式

• 在RomoteC 访问8080端口

  
  在这里插入图片描述
  在这里插入图片描述

• 下面演示另一种情况，我通过RemoteC 访问 LocalB的22端口

1.在LocalB 执行

guofu@guofu:~$ ssh -fNTCR localhost:2222:localhost:22 root@122.22.22.122    #当RemoteC访问2222端口，就会被转发到LocalB的22端口，需要输入RemoteC的root 密码                                                                                                                    

2.然后我们登录RemoteC，访问2222端口看看能否被转发到LocalB的22端口,显示进入了ubuntu机器，其实是利用了RemoteC 做跳板机登录

[root@iZ2ze32d6gy2re63vx8froZ ~]# ssh -p 2222 guofu@localhost
guofu@localhost's password: #此处输入LocalB的guofu的密码
Welcome to Ubuntu 18.04.5 LTS (GNU/Linux 4.15.0-132-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage

在这里插入图片描述

• 现在我们在LocalA 访问LocalB 怎么操作呢
  1.在RemoteC上面做一个端口转发

ssh -fNTCL *:2221:localhost:2222 root@localhost  #如果有请求RemoteC的2221的请求时，转发到2222端口 端口2222就会被转发到 LocalB的22端口，实现ssh登录

2.在LocalA通过ssh 访问2221端口

ssh -p 2221 guofu@122.22.22.122

3.登录成功

在这里插入图片描述

其他方案

其他的成熟的服务，比如frp，蜻蜓映射，natapp等，有兴趣的可以进一步了解

小结

本文只是简单的展示了内网穿透的实现方案，但是实际应用中，我们还要关注内网穿透带来的安全问题，和服务的持续连接问题，可以参考这篇文章