能ping通ECS实例但端口不通的排查方法

单击 一键诊断 进入自助问题排查页面，并切换至目标地域。

场景一：连接超时（Connection timed out）

1. 检查安全组规则。确保入方向规则允许了目标端口的访问，且未被高优先级的拒绝规则覆盖。

   1. 前往ECS控制台-实例单击目标实例ID进入实例详情页。

   2. 在实例详情页切换至安全组页签，单击目标安全组ID进入安全组详情页。

   3. 在入方向列表中检查规则。

      • 检查拒绝规则：查看是否存在优先级较高的拒绝策略，阻断了业务访问。

      • 检查放行规则：确认是否已添加允许目标端口和源IP访问的策略。

2. 检查实例内部防火墙。

   Alibaba Cloud Linux

   1. 登录ECS实例。

      1. 访问ECS控制台-实例。在页面左侧顶部，选择目标资源所在的资源组和地域。

      2. 进入目标实例详情页，单击远程连接，选择通过Workbench远程连接。根据页面提示登录，进入终端页面。

   2. 查看防火墙中已开放的端口。

      firewall-cmd --list-all

   3. 如果目标端口未在列表中，需添加防火墙规则。永久开放指定的TCP端口，允许外部访问（将<PORT>替换为实际端口号）。

      firewall-cmd --zone=public --add-port=<PORT>/tcp --permanent

   4. 重启防火墙使规则生效。

      firewall-cmd --reload

   Ubuntu

   1. 登录ECS实例。

      1. 访问ECS控制台-实例。在页面左侧顶部，选择目标资源所在的资源组和地域。

      2. 进入目标实例详情页，单击远程连接，选择通过Workbench远程连接。根据页面提示登录，进入终端页面。

   2. 查看ufw状态和已配置的规则。

      sudo ufw status

   3. 如果目标端口未在列表中，需添加防火墙规则。将命令中<PORT>修改为目标端口。

      sudo ufw allow <PORT>/tcp

   4. 重启防火墙使规则生效。

      sudo ufw reload

   Windows

   1. 登录ECS实例。

      1. 访问ECS控制台-实例。在页面左侧顶部，选择目标资源所在的资源组和地域。

      2. 进入目标实例详情页，单击远程连接，选择通过Workbench远程连接。选择连接方式为终端连接，输入账号和密码，登录图形化终端页面。

   2. 打开高级安全防火墙。

      1. 在任务栏搜索框，输入服务器管理并打开。

      2. 在服务器管理器右上角，选择工具(T) > 高级安全 Windows防火墙。

   3. 检查并启用远程管理规则。

      1. 检查防火墙状态。如果防火墙已关闭，则无需后续操作。

      2. 如果防火墙已启用。在左侧面板中，单击入站规则。

      3. 在规则列表中，找到Windows 远程管理-兼容模式(HTTP-In)。

      4. 如果该规则未启用，右键单击它并选择启用规则(E)。

3. 检查端口是否可以访问。在本地客户端（不要在目标ECS上自测），使用telnet命令测试。

   telnet <公网IP> <端口号>

   若返回Connected to ...，说明网络和端口均已通畅。

场景二：连接被拒绝（Connection refused）