UDP Hole Puching技术：穿透防火墙建立UDP连接

　　在防火墙上钻孔【UDP Hole Puching】：穿透防火墙建立UDP连接

　　知道现在流行的P2P软件和IM软件是如何让两台分处在不同防火墙后面的电脑直接对话的吗？SIP当然是一种，还有一种被广泛应用的就是本文介绍的UDP Hole Puching技术。

　　为了便于讲述，我们假设有这样一个网络拓扑结构：

　　IP=A.A.A.A　　 IP=1.1.1.1

　　HostA----------FirewallA---------|

　　|

　　Server IP=S.S.S.S

　　|

　　HostB----------FirewallB---------|

　　IP=B.B.B.B　　 IP=2.2.2.2

　　运用这个技术，必须满足下面的条件:

　　1) HostA和HostB分别通过FirewallA和FirewallB经过NAT用UDP连接到了Server

　　2) FirewallA和FirewallB都满足这样的特性，即来自相同IP相同Port的数据包，不管目的地IP是多少， 都会NAT成相同的IP+Port，举个例子吧:

　　HostA通过UDP Port 1234访问主机S1时，防火墙会把数据包NAT成1.1.1.1:5668(举例),那么HostA通过UDP Port 1234访问主机S2时，防火墙仍然会把数据包NAT成1.1.1.1:5668。好在现在的NAT基本上都具备这个特性。

　　现在，HostA用UDP端口1111连接到Server的5555端口，HostB用端口2222连接到Server的5555端口,在Server看来，HostA来自1.1.1.1:9676(FirewallA NAT过了嘛)，HostB则来自2.2.2.2:6573。当HostA想直接连接HostB时，它这样做：

　　1)用UDP端口1111发一个数据包给2.2.2.2:6573，注意一定要用端口1111哦，这个数据包一定会被FirewallA NAT成 1.1.1.1:9676 -> 2.2.2.2:5668(不要问为什么，看看前面对防火墙的要求先); 千万别期望HostB会收到这个数据包，因为当包到达FirewallB时，FirewallB被弄糊涂了，它根本不知道 1.1.1.1:9676 -> 2.2.2.2:6573的数据包应该转给谁，当然这个包就会被丢弃并回一个ICMP包说Port不存在。但是，我们还是得到了我们想要的一些东西，那就是我们成功地告诉了FirewallA "如果有2.2.2.2:6573 -> 1.1.1.1:9676的数据包，请转发到A.A.A.A:1111"，这就是一个洞洞!!

　　2)接下来，和你想象的一样，HostA通过Server中转，告诉HostB，用端口2222发一个数据包到1.1.1.1:9676，HostB照办了，而且这个包一定会被FirewallB NAT成 2.2.2.2:6573 -> 1.1.1.1:9676。这个回复的数据包同样在FirewallB上钻了个孔，凡是1.1.1.1:9676 -> 2.2.2.2:6573的包都会被转发到B.B.B.B:2222，当数据包到达FirewallA时，FirewallA很高兴地把2.2.2.2:6573 -> 1.1.1.1:9676的数据包转发给A.A.A.A:1111。

亿恩科技地址(ADD)：郑州市黄河路129号天一大厦608室 邮编(ZIP)：450008 传真(FAX)：0371-60123888
   联系：亿恩小凡
   QQ：89317007
   电话:0371-63322206

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]