阿里云ECS安全组设置正确但服务访问不通如何排查？-CLOUD技术笔记

在阿里云ECS实例中，即使安全组设置看似正确但服务仍无法访问，可能是由多个因素导致的。以下是系统性的排查步骤，帮助你定位和解决问题：

检查入方向规则（Inbound Rules）
- 确保安全组允许目标端口（如80、443、22、自定义端口）的流量。
- 源IP范围是否正确？例如：
  - 0.0.0.0/0 表示允许所有公网IP访问（测试可用，生产慎用）
  - 若只允许特定IP，请确认客户端IP未变
- 协议类型是否匹配：TCP、UDP、ICMP 或 ALL
出方向规则（Outbound Rules）
- 虽然多数服务依赖入站，但某些应用需要出站访问（如DNS解析、API调用），默认通常是允许的，但若被限制也可能影响。
安全组关联的实例
- 登录ECS控制台 → 实例详情 → 查看“安全组”标签页
- 确认该ECS实例已绑定正确的安全组
多安全组叠加问题
- 一个ECS可绑定多个安全组，任一安全组拒绝即不通。
- 检查所有绑定的安全组是否有冲突或遗漏端口。

服务是否正常运行

# 例如检查Web服务
systemctl status nginx
netstat -tuln | grep :80
ps aux | grep nginx

监听地址是否为 0.0.0.0
- 使用 netstat -tuln 或 ss -tuln
- 如果服务只监听 127.0.0.1:80，则外部无法访问，需修改服务配置监听 0.0.0.0:80

本地防火墙（iptables/firewalld）

Linux自带防火墙可能拦截请求：

# CentOS/RHEL
systemctl status firewalld
firewall-cmd --list-all

# Ubuntu/Debian
ufw status verbose

# 临时关闭测试
systemctl stop firewalld
ufw disable

SELinux（仅RHEL/CentOS）
- SELinux策略可能阻止服务网络访问：
```
getenforce        # 查看状态
setenforce 0      # 临时禁用测试
```

ECS公网IP与弹性IP（EIP）绑定情况
- 确认实例有公网IP或已绑定EIP
- 检查是否处于VPC网络中，NAT网关、SNAT/DNAT配置是否正确
实例所在VSwitch的网络ACL
- VPC中的网络ACL（Network ACL）是子网级别的防火墙，可能阻止流量。
- 登录VPC控制台 → 网络ACL → 检查入/出规则是否允许相关端口。
路由表配置
- 检查VPC路由表，确保公网流量能正确路由到互联网网关（IGW）

使用 telnet 或 curl 测试连通性
```
telnet <ECS公网IP> <端口>
curl -v http://<ECS公网IP>:80
```
- 若连接超时：可能是安全组、网络ACL、服务未监听
- 若连接拒绝（Connection refused）：服务未启动或监听错误
从不同网络环境测试
- 用手机热点、其他地区服务器测试，排除本地ISP或防火墙问题
使用阿里云诊断工具
- 进入ECS控制台 → 实例详情 → “网络诊断”
- 使用 云助手（Cloud Assistant） 执行脚本检测服务状态

抓包分析
在ECS上使用 tcpdump 抓包：
```
tcpdump -i eth0 port 80
```
- 若收到SYN但无响应：可能是服务层问题或防火墙拦截
- 若完全收不到包：问题在安全组、网络ACL或路由

查看系统日志

tail -f /var/log/messages
journalctl -u nginx --no-pager -n 50
dmesg | grep -i drop

阿里云支持工单
- 提供以下信息提交工单：
  - 实例ID、公网IP、时间范围
  - 安全组截图、服务监听状态、tcpdump结果
  - 是否曾通，何时开始异常？

即使安全组配置正确，也必须逐层排查：

网络层（安全组 + 网络ACL + 路由）→ 主机层（防火墙 + 服务监听）→ 应用层（服务状态 + 配置）

建议按顺序执行上述检查，通常能快速定位问题根源。

如有具体场景（如HTTP不通、SSH连不上、自定义端口等），可提供更多信息进一步分析。