咱们先把问题拆解清楚：同局域网内连接正常，说明Netcat本身没问题，核心问题肯定出在跨网络的端口转发或者公网可达性上。下面是一步步的排查步骤，你可以挨个试：

1. 先确认公网IP和端口映射的正确性 #

• 首先在Windows主机上，要么打开浏览器访问ifconfig.me，要么用命令行敲curl ifconfig.me，拿到当前网络的公网IP。注意：这个IP必须是路由器的公网IP，绝对不能用Windows的内网IP（比如192.168.x.x）去连接。
• 接着去路由器后台检查端口映射规则：
  • 外部端口是不是设成了4444？有没有和其他端口映射规则冲突？
  • 内部IP是不是Windows主机的内网IP？最好给Windows设个静态IP，或者在路由器里绑定MAC地址，防止DHCP自动分配IP导致映射失效。
  • 协议一定要选TCP！Netcat默认用TCP，别不小心选成UDP了。

2. 测试公网端口是否真的能被访问 #

• 在连移动热点的Kali上，执行nmap -Pn [你的公网IP] -p 4444，看看端口状态。如果显示filtered或者closed，说明端口根本没对外开放。
• 也可以用在线端口检测工具（比如在Kali里敲curl https://portchecker.co/check?port=4444&ip=[你的公网IP]），确认外网能不能访问这个端口。

3. 检查Windows防火墙的入站规则 #

• 同局域网能连不代表外网能连：Windows防火墙可能只允许局域网段的IP访问4444端口。你得手动加一条规则，允许所有IP（或者指定公网IP）访问4444的TCP连接。
• 操作路径：打开「Windows Defender防火墙」→「高级设置」→「入站规则」→「新建规则」，选「端口」，输入4444，允许连接，应用到所有网络类型。

4. 排查运营商的端口限制或CGNAT问题 #

• 有些运营商会封禁像4444这种常被用于反向shell的“可疑”端口。你可以换个端口试试，比如8080、12345这种非标准端口，重新设置监听和端口映射后再测试。
• 另外，确认你的路由器是不是处于CGNAT（运营商级NAT） 环境里。如果是，你的路由器没有独立的公网IP，端口映射直接失效。这种情况可以打电话给运营商，申请获取公网IP。

5. 最后再核对Netcat命令 #

• Windows上的监听命令要正确：比如nc -lvp 4444，如果是新版的ncat，就用ncat -lvp 4444，别搞混参数顺序。
• Kali上的连接命令必须是nc [公网IP] 4444，千万别写成Windows的内网IP了。

要是试过这些还是不行，可以补充几个信息：路由器端口映射的截图、Windows防火墙的入站规则配置、公网IP的类型（是不是CGNAT），这样能更精准定位问题。

内容的提问来源于stack exchange，提问作者Alex Rily