ECS 安全组放行端口仍无法外网访问？必看排障教程

本文由云枢国际yunshuguoji撰写。
本文整理落地式五步排查流程，由外到内逐层定位故障根源。
第一步：核验安全组绑定与规则参数
1.1 确认安全组关联目标实例
很多用户只新增规则，遗漏实例绑定：进入 ECS 实例详情→安全组栏目，查看实例已加入的安全组，未绑定则点击加入安全组。
1.2 核对入方向规则细节
常见配置失误：端口书写格式错误、协议选错、授权 IP 范围不符。 标准填写格式：TCP、80/80、0.0.0.0/0、允许；如需限定 IP 则替换指定 IP 段。
第二步：排查操作系统内置防火墙
安全组放行≠系统端口放行，本地防火墙是最容易忽略的拦截项。
第三步：检查应用端口监听状态
安全与防火墙全部放行后，故障大概率是服务未正常监听端口。 通过ss -tlnp/netstat -tlnp | grep 端口号核查，若无对应监听端口：核对程序配置文件、重启服务、查看运行日志。
第四步：分内外网做连通性测试
1.实例内部：curl 127.0.0.1:端口自测本地服务可用性；
2.外部环境：通过在线端口检测工具、本地 curl 测试公网 IP 端口；内网通、外网不通，故障锁定在安全组或 VPC ACL。
第五步：进阶深度排查
1.VPC 子网 ACL：VPC 架构下子网 ACL 优先级高于安全组，手动配置黑名单会拦截端口，默认全放行无需改动；
2.系统日志：借助 journalctl、dmesg 查看防火墙、Nginx 等程序报错；
3.阿里云自带工具：云监控查流量、网络智能诊断、主机安全辅助排查异常拦截。