全球主机测评上个月帮一个朋友排查端口问题。他按教程部署了一个应用,配置都对了,但就是访问不了。他在服务器上折腾了两个小时,重启服务、重装环境、查日志,最后发现是云平台安全组没开那个端口。
两个小时,问题在别的地方。
端口不通这种问题,90%的情况下不是服务器本身的问题。但大多数人第一反应就是登录服务器去查,方向就错了。
这篇给你一个排查顺序,从外到内,一步一步来。
端口不通最常见的5个原因
先把可能的问题列出来,心里有个数:
云平台安全组没开放。这是排名第一的原因。你买了服务器,但很多端口默认是关闭的,需要手动在安全组里放行。很多人不知道这回事。
服务器防火墙拦截。服务器内部的防火墙(iptables、firewalld、ufw)默认会拦截大部分端口,即使安全组开了,服务器防火墙没开也一样不通。
服务没启动或没监听。服务挂了、配置错误、或者压根没跑起来,端口自然不通。
服务绑定地址错误。服务绑定了127.0.0.1而不是0.0.0.0,外部访问不了。
本地网络或运营商限制。本地网络封了这个端口,或者运营商对某些端口有限制。这种情况比较少见,但确实存在。
知道了可能的原因,接下来按顺序排查。
第一步:本地端口检测
先从你自己的电脑开始查,确认问题到底出在哪一环。
用 telnet 或 nc 测试:
telnet 你的服务器IP 端口号
或者:
nc -zv 你的服务器IP 端口号
如果显示连接成功,说明端口是通的,问题可能在应用层(比如服务配置、Nginx代理等)。如果连接超时或拒绝,继续往下查。
在线工具也可以用,比如一些”端口检测”网站,输入IP和端口就能测。但命令行更可靠,建议优先用命令行。
第二步:查云平台安全组
本地确认不通之后,第一件事就是去云平台控制台看安全组。
不同厂商的入口不一样,但逻辑一样:
- 找到你服务器的安全组规则
- 检查入方向规则里有没有放行你要用的端口
- 协议类型要对(TCP/UDP)
- 端口范围要包含你的端口
- 来源IP建议先用0.0.0.0/0(所有IP),排查完再收窄
举几个常见厂商的入口:
萤光云:控制台 → 云服务器 → 安全组 → 入方向规则 → 添加规则
阿里云:ECS控制台 → 安全组 → 配置规则 → 入方向 → 添加规则
腾讯云:CVM控制台 → 安全组 → 入站规则 → 添加规则
注意:有些厂商的安全组改完之后可能需要几分钟生效,别改完立刻测试就下结论。
第三步:查服务器防火墙
安全组确认放行了,接下来查服务器内部的防火墙。
登录服务器后,先看防火墙状态:
CentOS / firewalld:
systemctl status firewalld
如果防火墙是运行的,检查端口是否放行:
firewall-cmd --list-ports
如果端口不在列表里,放行它:
firewall-cmd --add-port=8080/tcp --permanent
firewall-cmd --reload
Ubuntu / ufw:
ufw status
放行端口:
ufw allow 8080/tcp
iptables(老系统):
iptables -L -n
如果防火墙太复杂搞不清楚,最简单的办法是临时关掉防火墙测试一下(仅用于排查,不要长期关闭):
systemctl stop firewalld # CentOS
ufw disable # Ubuntu
如果关了防火墙端口就通了,说明就是防火墙的问题,把规则加回去就行。
第四步:确认服务在监听
防火墙也确认了,接下来看服务到底有没有在监听那个端口:
ss -tlnp | grep 端口号
或者:
netstat -tlnp | grep 端口号
如果能看到输出,说明服务在监听。注意看监听地址:
0.0.0.0:端口→ 对所有IP开放,没问题127.0.0.1:端口→ 只对本地开放,外部访问不了,需要改服务配置:::端口→ IPv6,一般也没问题
如果没有任何输出,说明服务没有在这个端口上监听。检查服务是否启动、配置是否正确。
第五步:检查服务绑定地址
如果你的服务监听在127.0.0.1上,外部肯定访问不了。这是一个很常见的错误。
比如 Node.js 应用,启动时要确保监听 0.0.0.0:
app.listen(3000, '0.0.0.0')
Spring Boot:
server.address=0.0.0.0
Python Flask:
app.run(host='0.0.0.0', port=5000)
改完之后重启服务,再测试。
常用命令速查
把这些命令收藏一下,排查的时候直接用:
| 用途 | 命令 |
|---|---|
| 本地测端口 | nc -zv IP 端口 |
| 查服务监听 | ss -tlnp |
| 查防火墙状态 | firewall-cmd --list-ports 或 ufw status |
| 放行端口(CentOS) | firewall-cmd --add-port=端口/tcp --permanent |
| 放行端口(Ubuntu) | ufw allow 端口/tcp |
| 临时关防火墙 | systemctl stop firewalld 或 ufw disable |
你可能在想
端口开了但还是连不上怎么办?
按顺序再查一遍:本地测试 → 安全组 → 防火墙 → 服务监听 → 绑定地址。如果全确认了还是不通,查一下是不是运营商封了这个端口(有些运营商会封常见的高危端口,比如445、3389)。也可以试试换一个端口。
怎么查服务器上某个端口有没有在监听?
用 ss -tlnp | grep 端口号。有输出说明在监听,没有说明服务没跑起来或者跑在了别的端口上。
安全组和防火墙有什么区别?
安全组是云平台层面的,控制外部能不能访问你的服务器。防火墙是服务器操作系统层面的,控制服务器内部能不能接收某些流量。两个都要放行才能通。一个关了另一个开了也不行。
修改端口后网站打不开了怎么办?
确认新端口在安全组和防火墙里都放行了,确认服务监听了新端口,确认Nginx/Apache的反向代理配置也改了新端口。缺一个都不行。
端口问题看起来简单,但排查方向错了会浪费很多时间。记住一个原则:从外到内查,先确认本地能不能通,再看云平台,最后看服务器内部。萤光云的控制台安全组配置比较直观,添加规则后一般1-2分钟生效,排查端口问题时可以先从这里确认。
