Solo nei primi giorni dell'hacking i RAT richiedevano la mancanza di firewall per consentire al controller di connettersi. Prendi il famoso esempio di SubSeven: il RAT dovrebbe installare e unirsi a un canale IRC pubblicizzando una porta e un indirizzo IP. Se la vittima era dietro un firewall, la macchina non poteva essere manipolata: l'hacker avrebbe appena avuto un timeout di connessione.
Tuttavia, quei giorni sono finiti da tempo. In questi giorni, i RAT tipicamente utilizzano una connessione client a un server di comando e controllo per agire da intermediario, evitando così la necessità di avere una porta aperta su un server. Tutto ciò di cui hanno bisogno è un accesso senza restrizioni a Internet.
Nel framework Metasploit, meterpreter può essere configurato in modo molto semplice tramite una connessione "reverse_tcp". In pratica, ascolti su alcune porte su Internet e il computer infetto si connette all'hacker.
Se l'accesso a Internet è bloccato sul computer, diciamo solo a http e https e nessun'altra porta, meterpreter può aggirare anche questo. Può essere configurato per riconnettersi al proprio server di controllo utilizzando una sessione ActiveX ben formata su HTTP o HTTPS che potrebbe anche non far scattare alcuni sistemi di rilevamento delle intrusioni. Questa è la punta dell'iceberg nell'offuscare le connessioni di comando e controllo.
Si noti che è possibile impostare una porta in ingresso aperta con un RAT tramite UPnP, ma questo è inaffidabile (poiché molti router non supportano o non hanno UPnP abilitato) e non un metodo comune.