谢谢，真的很有细节！
独学不能无友
书我都不知道看几次了，但始终看不通
最后的结果是书都快被我当国文课本背起来了
但还是不懂 XDDDD （不知有没有人懂这种无奈）
※ 引述《blackbox (黑盒子)》之铭言：
: : 比如这个例子，指令在 Mac 上面下
: : 是不是说，封包进来后是由 Mac 充当 NAT?
: ssh指令是在MAC这台机器下的没错，应该形容成Port Forwarding比较接近
: IP分享器建立个PORT FWD，就是把WAN IP的一个PORT对应到LAN的某个地方
: 我们在远端的RPI开了Port FWD功能，但是这FWD却是由MAC去处理
: 1.1.1.1:2345 <=> 10.1.1.11:xxxxx <=> 10.1.1.12:1234
^^^
就这个，内网往外网我不怀疑其能力
但外网往内网有问题，所以我想 NAT 这时也还是有在做转发
但这次是自动设的，和我要去 AP 的 NAT 功能表手动设不同
其实要讲解这细节，就连 NAT 都得给一个 IP 来讲了
而我一直很搞不懂的是，NAT 是有一个 IP，还是两个 IP？
似乎是两个，一个公网对外，一个私网对内，
NAT 就是电子交换机，将这两个直接短路起来
私网对内那个似乎和我们其他私网电脑是同一个网段的，所以才符合 netmask 的规则
也才有法子填 gateway 这个字段
（这带出另一个问题，现在的 NAT 都一插上就能用，不用自己设 route
我以前是 modem 工程师，厂商有时送来的机器不会自己产生 route，我要先设才能用
N 年前的产品比现在阳春吧！
可是我都不知道要怎样设，我不知道 gateway 是多少，怎么查
gateway 有一定的规则吗？比如 netmask 所规范范围内，所有可变 bit 都设 0?
可变都设 1 是广播位址嘛；因为我常看 default gateway 是设往 0,0,0,0
也或者其实要看硬件设定，厂商应该提供给我但没提供）
: 对远端的客户而言，他是连到RPI，他不认识MAC跟SRV
: 对SRV而言，是MAC连到他，他不认识客户跟RPI
: : 也就是说，我学过把 AP 设成 NAT
: : 而 ssh tunnal, 就是由下指令的那台电脑充当 NAT？
: : 至于 cgnet 会有什么问题，我还不懂
: : 毕竟 email 的 request 已经突破层层内网穿出去了
: : 而 mail server 的回传资料也突破层层内网穿回来了
: 层层穿"出去"的request就是我说的主动连接
: IP分享器可以在WAN IP做NAT功能对LAN提供服务。假设WAN IP: 2.2.2.2
就这个，不把 IP 分享器也给一个 IP，根本讲解不清这段
但我觉得有两个 ip,私网 IP 就是 gateway
: 当你用10.1.1.11连1.1.1.1:22时，他会建立纪录：
: 1.1.1.1:22 <=> 2.2.2.2:xxxxx <=> 10.1.1.11:34567
是，我印象中读过一句话：每个服务都要开 port
而 NAT 被不定数量的私网 IP 动态连上时，也会动态开 port
有还没用的就开～
: (:xxxxx表示任意Port，下同)
: 对1.1.1.1而言是2.2.2.2去连接他，他不认识10.1.1.11
: 层层穿"进来"的NAT就没有对应表了
: 今天你的IP分享器不会知道你在10.1.1.12:1234开了服务
: 所以除非你在Port Forwarding下手动设定 2.2.2.2:3456 <=> 10.1.1.12:1234
: 分享器不会也不应该主动让2.2.2.2:xxxxx对应到10.1.1.12:1234
: (不谈DMZ, UPNP, Port Trigger啥的)
好吧，先不谈 Port Trigger
我有去信问 tp-link, 他们回信后我还是不懂
我认为是我没用到，所以不懂；那先别勉强学
: 而这时外面的客户端要连线的是2.2.2.2:3456而不是10.1.1.12:1234
: CGNAT的问题是你的WAN IP不是公网IP
: ISP发给你的是100.64.1.2这种类似私网的IP，对外变成ISP的3.3.3.3
: 一样的连接变成
: 1.1.1.1:22 <=> 3.3.3.3:xxxxx <=> 100.64.1.2:xxxxx <=> 10.1.1.11:xxxxx
: 对于公网上的机器，只知道3.3.3.3，不知道后面的100跟10这段
: 此时你的Port fwd只能开在100.64.1.2，外面的人看不到的
: : 可以想见的是，如果我要留着一个 ssh 通道做我想做的事
: : 那便是一种资源占用，所以会被设限？
: 手机要挂著登入远端的SSH以便开启通道，少了一个手机，好麻烦
: 除了所有封包都要经过手机外，大致上没有其他问题
这不是麻烦 XD
我老板丢给我一个使用情境
他说：牵一个固网很贵，客户舍不得牵给 RPI
（我们 RPI 是用来做自动控制的微电脑，在工厂里控制机台的）
平时 RPI 都独立运作
但偶尔还是会想上网，这时客户会拿着手机接近
RPI 可不可以设成临时连上手机并且马上上网
我答：可
他又问：那这时可不可由外界控制 RPI
我当场就想把客户干到外翻了 XD
好好牵个固网是会死吗？是有多贵..
牵个固网，你去美国都可以摇控你心爱的工厂
然后老板就说：可是人家物联网都可以，都是内网，一样可以控制工厂的灯泡
应该可以把灯泡注册到云端，以后就可以控制
那时我就很想不通
以注册来说是可以分辨出这颗灯泡没错
但以 IP 来说，内网 IP 没什么好注册的，没分辨力
如果牵固网，我就会在 IP 分享器上面设好固定式 NAT
大方的说当然连得进来
但如果是手机网络，我突然想到，要在手机上设 NAT？手机根本没这字段！
这样知道我为什么开始思考这些机车问题了吧..
那就去用人家的服务啊！
这句回答等于是：我回家吃自己，你找那家替你做去
老板就是要我做
他就是说：team viewer 那种 server，我们自己架一个，程式自己写
所以我才评估这些
其实不是一定要做
而是只要可以评估出来，很难，很贵，别人不可能做出来，那也可以不做 XD
但我天天最不爽听到的就是：别家那个谁谁谁做出来了耶，他为什么可以
靠北咧，别人可以！
所以我才得研究一下
最近我有新的借口了：team viewer 可以没错，但试用期过后就要钱了，要代价啦
（要钱他就不会逼我做了 XDDDD）
好啦，现在我终于搞懂了
只要你舍得手机丢在那边
那你手机丢著的期间，我也承诺你做得到
至于未来老板会想通，改去逼客户一定要牵固网
那是未来的事了，至少现阶段我不输别人 :P
: : 所以跨过手机的 ssh 通道将会无法服务吗？
: : 内网 ssh 外网应该是没问题
: : 但 ssh tunnel 让外网反钻回内网，会有问题吗？
: 有可能造成资安问题，但是技术问题应该没有
: 你让一个本来被关在内网的服务可以被其他人使用
我也觉得资安有问题，一直在想有没有地方可以上课
有些钱是得花的，坐着听两小时会懂，就去听..
在 PTT 问免钱的有时会被酸
在这板到现在还没被酸是太好运了
（至于上了课还不懂，就好像巨匠那种水准，那也不行
所以有时为了五斗米还是得来挨骂
我挨的很多骂都是主管要求做的，主管都觉得可以，然后我就来问，来挨骂
主管自己也不会 XD）
: : 我昨天做了两个设定，一个是 A 往 B 连，一个是 B 往 A 连
: : 如果没有方向性，都是短路在一起的概念
: : 则效果应该一样
: : 但效果就是不一样
: socket是双向的，我们在处理的是建立之前的步骤
等等来修文附上我的案例，因为都看你的数字，我已经眼花了
必需实体化一下