看起来你已经把UDP打洞的前置流程走得很顺了——STUN识别NAT类型、 rendezvous服务器交换公网地址都没问题，但卡在最关键的数据包互通环节，确实挺闹心的。我结合你的描述、代码和Wireshark的观察，给你梳理几个高概率的排查方向：

1. 先排查Socket绑定的核心误区 #

你代码里强制把本地Socket绑定到PRIVATE_IP和STUN返回的PUBLIC_PORT，这是个典型的错误！STUN返回的公网端口是NAT设备上的映射端口，不是你本地机器上的可用端口，本地Socket根本无权绑定到这个端口（除非刚好巧合本地有这个空闲端口，但概率极低）。

你可以在SOCK.bind后面加个错误检测，大概率会发现绑定失败：

try:
    SOCK.bind((PRIVATE_IP, PUBLIC_PORT))
    print(f"绑定成功到 {PRIVATE_IP}:{PUBLIC_PORT}")
except Exception as e:
    print(f"绑定失败：{e}")

正确的做法是：本地Socket只需要绑定到本地IP+任意可用本地端口（或者直接让系统自动分配端口），NAT会自动把这个本地端口映射成STUN返回的公网端口。修改后的绑定代码应该是这样：

# 让系统自动分配本地端口，或者指定一个本地空闲端口（比如50000）
SOCK.bind((PRIVATE_IP, 0))
# 打印实际绑定的本地端口，方便后续验证
print(f"本地Socket实际绑定：{SOCK.getsockname()}")

2. 确认打洞的“同步性”是否达标 #

UDP打洞的核心是双方必须在几乎同一时间向对方的公网地址发送数据包，这样两边的NAT才会同时打开临时的端口映射通道。如果一方先发送了包，另一方过了很久才响应，先发送的那方NAT可能已经把临时映射过期回收了，或者另一方的NAT会把晚到的包当成非法流量丢弃。

建议你通过rendezvous服务器加一个同步步骤：比如两边都把自己的公网地址上传后，等待服务器返回“对方已准备好打洞”的信号，再同时启动发送和监听逻辑，而不是各自独立启动程序就开始发包。

3. 再验证NAT类型的准确性 #

虽然工具显示是全锥/端口受限锥NAT，但工具检测可能存在误差。你可以手动做个小测试：

• 找一台有公网IP的服务器，启动一个UDP监听程序（比如用nc -ul 0.0.0.0 12345）
• 用你的本地Socket（绑定本地端口）向服务器的公网IP:12345发送一个UDP包
• 然后让服务器用同一个UDP端口，向你的公网IP+STUN返回的公网端口发送一个包
• 如果你的本地程序能收到这个包，说明NAT类型确实是全锥/端口受限锥；如果收不到，那要么是NAT类型检测错误，要么是路由器有额外的拦截规则。

4. 排查网络环境的隐性限制 #

你已经关了本地防火墙，但还要注意：

• 路由器层面的防火墙：很多家用路由器默认会拦截来自公网的UDP流量，即使是端口受限锥NAT，也需要在路由器里开启“UPnP”或者手动放行临时UDP流量（有些路由器叫“虚拟服务器”或者“端口转发”，但打洞不需要固定转发，只要允许临时映射）
• 运营商/内网的UDP过滤：校园网、企业网、部分运营商会对UDP流量做深度过滤，直接阻断公网UDP互通。你可以换个网络环境试试（比如手机热点），如果换热点后能成功，说明是原网络的问题。

5. 给Socket加必要的选项 #

有些系统需要开启SO_REUSEADDR和SO_REUSEPORT选项，才能让Socket正常复用端口或者绑定到可能处于TIME_WAIT状态的端口。你可以在创建Socket后加上：

SOCK.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
SOCK.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEPORT, 1)

修正后的核心代码示例 #

结合上面的建议，给你一个简化的修正版代码框架：

import socket
import threading
import time

PRIVATE_IP = "192.168.1.100"  # 替换成你的本地私网IP
PUBLIC_IP = "x.x.x.x"  # STUN获取的公网IP
TARGET_PUBLIC_IP = "y.y.y.y"  # 对方公网IP
TARGET_PUBLIC_PORT = 12345  # 对方公网端口

# 创建Socket并设置选项
SOCK = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
SOCK.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
SOCK.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEPORT, 1)
# 绑定本地IP+系统自动分配端口
SOCK.bind((PRIVATE_IP, 0))
print(f"本地Socket绑定信息：{SOCK.getsockname()}")

def listen_thread():
    while True:
        try:
            data, addr = SOCK.recvfrom(1024)
            print(f"收到数据包：{data.decode()} 来自 {addr}")
        except Exception as e:
            print(f"监听出错：{e}")
            break

def start_hole_punch():
    # 这里应该通过rendezvous服务器等待同步信号，现在用模拟延迟代替
    print("等待对方准备就绪...")
    time.sleep(5)
    print("开始打洞...")
    
    # 启动监听线程
    threading.Thread(target=listen_thread, daemon=True).start()
    
    # 循环发送打洞包
    while True:
        try:
            SOCK.sendto(b"punch", (TARGET_PUBLIC_IP, TARGET_PUBLIC_PORT))
            print(f"发送打洞包到 {TARGET_PUBLIC_IP}:{TARGET_PUBLIC_PORT}")
            time.sleep(0.5)
        except Exception as e:
            print(f"发送出错：{e}")
            break

if __name__ == "__main__":
    start_hole_punch()

最后补充Wireshark的排查技巧 #

如果按照上面的方法修改后还是收不到包，你可以：

• 在发送方抓包，确认数据包的源端口是本地Socket绑定的端口，目标是对方的公网IP+端口
• 在公网服务器上抓包（如果有条件），看数据包是否能到达公网层面
• 如果数据包能到公网但到不了对方，那大概率是对方的NAT或网络环境的问题

备注：内容来源于stack exchange，提问作者Ofer