当防火墙不接受传入连接时，p2p 软件（skype、torrent ..）如何工作？

通常，通过滥用防火墙的状态。

如今，大多数（如果不是全部）防火墙都是有状态的。它们会跟踪进出的流量，因此它们知道数据包之间的“关系”。例如，如果网络内部的主机向外部某处发送 SYN 数据包，防火墙就会知道这一点，并且知道会从原始 SYN 发送至的地址收到相应的 SYN ACK 数据包。

因此，只要内部主机建立了外部连接，返回流量的“闸门就会打开”。

还有其他更复杂的方法可用。一个小示例列表包括：

• 隧道施工（例如在HTTPS或者ICMP）
• 即插即用（并不适用于 Juniper 等企业防火墙）
• 眩晕

P2P 应用程序使用技术来遍历NAT大多数人的家用网关都有这种技术。所采用的技巧是基于允许传出连接这一事实，这就是为什么它们可以在具有相同策略的防火墙上工作。

最简单、最成功的方法是UDP 打洞。

它是TCP 变体稍微复杂一些，但是如果失败了，软件可以尝试使用 UDP 隧道传输 TCP。

还有ICMP 打洞它使用另一种方法允许不通过第三方进行初次接触。