一、问题现象
服务器部署后,客户端无法通过SSH(端口22)、HTTPS(443)、数据库加密连接(如MySQL SSL端口3306)等安全协议建立连接,报错常见包括:
• Connection refused
• Connection timed out
• No route to host
• TLS握手失败(如OpenSSL error: sslv3 alert handshake failure)
此类问题多由防火墙拦截了加密通信链路的关键端口或协议,而非服务本身未启动。
二、原因分析
1. 系统级防火墙拦截
- iptables:规则链(INPUT/OUTPUT/FORWARD)中缺失ACCEPT规则,或存在DROP ALL前置策略;
- ufw(Ubuntu):默认拒绝入站,未显式允许22/443/8443等端口;
- firewalld(CentOS/RHEL):active zone(如public)未开放对应端口或服务(如ssh、https)。
2. 云平台安全组/网络ACL限制
阿里云、腾讯云、AWS等平台的安全组默认拒绝所有入站流量,若未手动放行目标端口(含源IP范围),即使系统防火墙关闭,连接仍会失败;
3. 高级策略干扰
- fail2ban误封IP导致合法连接被拒;
- SELinux强制策略阻止sshd或nginx等进程绑定端口(需检查
sestatus -v及ausearch -m avc -ts recent); - IPv6防火墙(ip6tables)独立配置未同步更新。
三、排查与修复
步骤1:确认服务监听状态
执行:sudo ss -tlnp | grep -E ':22|:443|:8443' 或 sudo netstat -tuln | grep -E ':(22|443|8443)'
正常应显示LISTEN且PID为sshd/nginx等进程;若无输出,先检查服务是否运行(systemctl status sshd)。
步骤2:临时关闭系统防火墙验证
- Ubuntu(ufw):
sudo ufw disable - CentOS 7+(firewalld):
sudo systemctl stop firewalld - 通用(iptables):
sudo iptables -P INPUT ACCEPT && sudo iptables -F
若此时连接恢复,即确认为防火墙配置问题;请勿长期关闭,立即进入步骤3修复。
步骤3:精准放行安全链端口
▶ iptables(推荐持久化保存):sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPTsudo iptables -A INPUT -p tcp --dport 443 -j ACCEPTsudo iptables -A INPUT -p tcp --dport 8443 -j ACCEPTsudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTsudo iptables -P INPUT DROP(最后设默认策略)
→ 保存规则:sudo iptables-save > /etc/iptables/rules.v4(Debian/Ubuntu)或 service iptables save(CentOS 6)
▶ ufw(Ubuntu):sudo ufw allow OpenSSH(预设规则)sudo ufw allow 443/tcpsudo ufw allow 8443/tcpsudo ufw enable
▶ firewalld(CentOS/RHEL):sudo firewall-cmd --permanent --add-service=sshsudo firewall-cmd --permanent --add-port=443/tcpsudo firewall-cmd --permanent --add-port=8443/tcpsudo firewall-cmd --reload
步骤4:检查并配置云平台安全组
登录云服务商控制台 → 找到对应服务器实例 → 进入「安全组」→ 编辑入方向规则:
• 协议类型:TCP
• 端口范围:22, 443, 8443(或按需添加)
• 授权对象:建议限制为运维IP段(如203.0.113.0/24),生产环境避免填0.0.0.0/0
• 保存后等待1–2分钟生效。
四、预防建议
- 部署新服务器时,优先配置安全组再启用系统防火墙;
- 使用
firewall-cmd --list-all或ufw status verbose定期审计规则; - 对SSL/TLS服务,确保防火墙允许TCP+UDP(部分证书验证需UDP 53/DNS或80/HTTP验证);
- 记录所有变更,配合Ansible/Terraform实现防火墙策略版本化管理。
防火墙是服务器安全的第一道屏障,但配置不当极易引发“安全链断裂”。掌握系统防火墙与云安全组的协同逻辑,结合ss、tcpdump、journalctl -u sshd等工具交叉验证,可大幅提升排障效率。
推荐服务器配置:
|
CPU |
内存 |
硬盘 |
带宽 |
IP数 |
月付 |
|
Xeon CIA/50M CDIA |
16G DDR4 |
1TB SATA |
20M CIA/50M CDIA |
3个 |
600 |
|
Xeon Gold 6138(20核) |
32G DDR4 |
800GB SSD |
20M CIA/50M CDIA |
3个 |
880 |
|
Xeon E5-2686 V4×2(36核) |
64G DDR4 |
800GB SSD |
20M CIA/50M CDIA |
3个 |
1520 |
|
Xeon Gold 6138*2(40核) |
64G DDR4 |
800GB SSD |
20M CIA/50M CDIA |
3个 |
1610 |
租用服务器,详细咨询QQ:80496086
了解更多服务器及资讯,请关注梦飞科技官方网站 https://www.mfisp.com/,感谢您的支持!
文章链接: https://www.mfisp.com/37710.html
文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!
