UFW、安全组与远程访问排错
云平台上常见的双层访问控制是:云侧安全组 + 机器侧防火墙。两边任何一层没放行,外部都进不来。
双层防护结构
graph LR
A[客户端] --> B[云安全组]
B --> C[服务器 UFW]
C --> D[本地端口监听]
D --> E[应用]
UFW 最小命令
sudo ufw allow OpenSSH
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable
sudo ufw status numbered
云安全组与 UFW 的区别
| 层级 | 管什么 |
|---|---|
| 安全组 / NSG / Firewall Rule | 云入口流量 |
| UFW | 机器本地流量 |
典型远程访问排错
- SSH 连不上:检查 22 端口是否开放、密钥是否正确、服务是否运行
- Web 打不开:检查 80/443 是否同时在安全组和 UFW 开放
- 只有本机能访问:应用可能只监听
127.0.0.1
本节执行清单
- [ ] 列出你的机器当前开放端口
- [ ] 对照云安全组与 UFW 做一次核对
- [ ] 从外部网络验证 22/80/443 三个端口
下一章:服务器安全基线——访问通了之后,要先把风险降下来。