堡垒机服务器端口不可用网络与防火墙检查清单

1. 初步确认与服务层检查

1.1 服务是否在监听

首先确认堡垒机进程正常、端口已绑定。使用 ss 或 netstat：ss -tlnp 或 netstat -tlnp，检查 端口监听（例如22/443/端口自定义）。

1.2 端口被占用或绑定错误

若端口未绑定，检查配置文件并重启服务；若被占用，使用 lsof 查找占用进程并调整。注意 SELinux 或应用权限可能阻止监听。

2. 网络连通性与握手检查

2.1 基础连通性测试

使用 ping 验证主机可达。若 ICMP 被禁用，使用 telnet 或 nc 直接测试端口：telnet ip port 或 nc -vz ip port，观察是否完成 TCP三次握手。

2.2 深度探测

使用 nmap 扫描端口状态（SYN/ACK/filtered），判断是否为网络层过滤（ACL）或主机防火墙阻断。

3. 主机防火墙与包过滤

3.1 检查 iptables/firewalld/UFW

根据系统查看规则：iptables -L -n -v、firewall-cmd --list-all 或 ufw status verbose，确认目标端口是否被拒绝或丢弃。

3.2 状态表与连接跟踪

若规则复杂，检查 conntrack 表是否已满（可能导致新连接被丢弃），并清理或扩大表容量。

4. 云环境与边界设备

4.1 云平台安全组与网络ACL

在 AWS/Azure 等平台，确认 安全组、网络ACL允许入站/出站到对应端口。注意优先级与子网路由。

4.2 负载均衡与端口转发

若在 LB/反向代理后面，检查 端口转发、健康检查和目标组状态，确保后端实例端口开放并通过健康检查。

5. 路由、NAT 与 MTU 问题

5.1 路由表与下一跳检查

使用 ip route 查看路由是否正确，确认流量到达正确下一跳。双向路由缺失会导致不可达。

5.2 NAT/端口映射与 MTU 问题

检查 NAT 规则与端口映射是否配置正确。若出现大包丢失或握手失败，排查 MTU 与 Path MTU 问题。

6. 日志与进一步排查

6.1 系统与应用日志

查看 /var/log/messages、应用日志与堡垒机审计日志，定位拒绝或异常连接记录。

6.2 常用修复建议

重载防火墙规则、临时放行目标端口验证、调整安全组、修正路由与重启服务。记录变更并逐项回滚以确认根因。

FAQ 常见问题

1. Q：如何快速判断是主机防火墙还是云安全组问题？
   A：先在堡垒机主机本地用 telnet localhost port 测试服务监听，再从外网或其他子网用 nc ip port 测试；若本地可连、远端不可连，多为云安全组或网络ACL。
2. Q：端口显示 filtered 是什么原因？
   A：通常表示中间设备（如防火墙、ACL）丢弃了包，应检查边界防火墙规则与安全组。
3. Q：如何排查 TCP 三次握手失败？
   A：使用抓包工具（tcpdump）观察 SYN/SYN-ACK/ACK 流程，结合防火墙日志确认哪一跳丢包。
4. Q：nat 或负载均衡配置修改后端口不可用怎么办？
   A：检查目标组健康检查设置、后端安全组与主机防火墙是否允许健康检查端口。
5. Q：conntrack 表满如何缓解？
   A：临时清空 conntrack 或增加表大小，长期通过优化连接超时与规则降低占用。
6. Q：日志中看到 RST 如何处理？
   A：RST 表示主机拒绝连接，检查服务是否监听、及防火墙是否拒绝或重置连接。

来源：堡垒机服务器端口不可用网络与防火墙检查清单