ISP可以阻止端口转发吗？

“端口转发”是错误的关注点。端口转发由您的路由器完成，数据包已经到达路由器，ISP 无法禁用它——但他们可以做的是完全阻止数据包到达您的路由器。如果他们这样做，那么您的路由器将如何处理它们是无关紧要的——它不能对永远不会到达的数据包做任何事情。

ISP 可以通过两种基本方式阻止入站连接到达您：

• 通过设置状态防火墙，只允许属于已经“已知”连接的入站数据包，即只回复而不是新连接。（家庭路由器通常也具有相同类型的防火墙，用于保护您的家庭网络。看到它在 ISP 范围内完成是不寻常的，但肯定不是不可能的，例如，这里的 LTE 运营商将您置于防火墙后面，除非您为“静态 IP”付费地址”。）

• 作为使用运营商级 NAT 的副作用，换句话说，就是没有给你一个可以接收连接的公共 IP 地址。由于 IPv4 地址日益稀缺，许多家庭和移动 ISP 部署了 CGNAT，导致所有客户只有某种形式的“私有”IP 地址。

查看路由器显示的“WAN IP 地址”。通常它应该是一个公共 IPv4 地址——如果不是，这意味着您的整个路由器位于另一层 NAT 之后，可能是 ISP 级别的 CGNAT。（请记住，100.64.0.0/10 也是私有范围，专门用于 CGNAT。）如果您有路由器和单独的调制解调器或 ONT，后者也可以充当路由器并进行 NAT。

如果地址是公开的，下一步就是让你的路由器自己告诉你它是否正在接收入站数据包。这实际上取决于您拥有什么样的路由器，例如，有些路由器在其防火墙中具有数据包记录功能，基于 OpenWRT 的路由器甚至可能安装了 tcpdump 工具。（不幸的是，在大多数情况下，你什么都没有。）

您的 ISP 可以禁用端口。也就是说，他们可以在其网络设备中设置一条规则，以防止发往某些端口的数据包到达您的路由器。

端口转发是路由器的一种行为，它在面向外部的端口与内部地址和端口之间进行映射。对外界来说，你的端口转发是不可见的。

您的 ISP 可以干扰端口转发的唯一方法是您的路由器实际上是他们的路由器：他们远程管理的受其管理控制的设备。

不仅 CGNAT，而且 ISP 可以在技术上强制您的端点仅是客户端，例如阻止任何TCP SYN 0定向到您的端点，或者如果首先在相反方向上没有看到 UDP 数据报，则在 UDP 的情况下阻止所有 UDP 消息。

激进的 ISP 可以在技术上实现这一点，以防止您运行任何类型的服务器。在 HTTPS 社交媒体时代，几乎没有客户会关心。

看起来，您的 NAT 路由器位于 ISP NAT 路由器后面。

但这并不总是意味着您需要向 ISP 付费以获得路由器的公共 IP 地址分配，这样您就可以启用端口转发来访问部署在家庭网络中的一台机器上的 VPN。一点也不。

仍然有免费的选择。就像市场上有很多公司提供隧道服务一样。我不想说出任何名字，但它们或多或少都像这样工作：

1. 您会在家庭网络中的机器上安装一些特殊的代理软件。它可能是开源的或专有的。

2. 该软件建立与“隧道服务提供商”提供的公共服务器的连接，并始终保持该连接，如果失败则重新建立连接。这是从您家通过所有 NAT 的“隧道”，因为您是从您的家庭网络内部启动它的。

3. 当您需要从外面的某个地方连接到您的家庭网络时，例如当您去夏威夷旅行时，您建立了与该“隧道服务提供商”的公共入口点的连接（他会在您注册时为您提供一个） . Prvider 在这里充当中间人：它从夏威夷接收您的网络流量，并引导它通过您的 agent@home 创建的隧道。这就是它到达您的家庭网络的方式。

这个想法有很多不同的实现，在许多小细节上有所不同。就像隧道服务提供商可以公开您的隧道一样，因此您可以在硬件@home 上托管网站，即使它位于数十个 NAT 和防火墙之后。

这种“隧道服务提供商”的唯一问题是 - 你会信任他们多少。就像如果有人让我在我的家庭服务器上运行一些专有软件，我会有很多问题。该软件可能会在我不知道的情况下在我的硬件上挖掘一些加密货币，或者该软件可以有后门并让任何人进入。即使那将是我不太了解的开源软件，问题仍然存在。在这条隧道的另一边是一些服务提供商的人，我不知道也不知道他们的意图:) 但我想你知道我是偏执狂。

您还可以考虑其他几个选项。他们遵循与上面显示的几乎相同的想法，但是：

• 他们是免费的
• 去中心化
• 他们提供了一些更好的安全性+匿名选项

谷歌的“tor隐藏服务”和“隐形互联网协议”