答案1
连接跟踪。
如果设备从 NAT 内部连接到外部,则允许来自外部系统的相关数据包进入。在某些情况下,这可以同时使用 TCP 和 UDP 来完成。
答案2
尽管在启用 NAT 的情况下流量可以双向流动,但重要的区别在于,如果没有端口转发,服务器就无法“监听”来自该网络外部主机的特定端口上的新连接。
以浏览网页为例。这里重点是您的浏览器是客户端;它正在连接正在监听端口 80 的另一个 Web 服务器。一旦建立连接,流量就可以双向流动。但是,如果没有某种形式的端口转发,就不可能反向操作,让网络内运行的 Web 服务器以相同的方式“监听”连接。
一旦建立连接,流量就可以双向流动,这是因为 EEAA 提到的连接跟踪。路由器维护 NAT/PAT 转换表,这使它们能够跟踪“谁在与谁通话”。
因此,总结一下,应用程序必须具备“监听”和“接受”连接的能力,而端口转发则无法实现这一点。如果您无法进行端口转发(即使使用“DMZ 主机”类型的功能),那么恐怕您只能采用变通方法了。