VPS防火墙应该放行哪些端口以确保服务正常运行?
| 端口号 |
协议 |
用途说明 |
常见服务 |
| 22 |
TCP |
SSH远程管理 |
OpenSSH |
| 80 |
TCP |
HTTP网页访问 |
Apache/Nginx |
| 443 |
TCP |
HTTPS加密传输 |
Let’s Encrypt |
| 3306 |
TCP |
MySQL数据库 |
MariaDB |
| 22-24 |
UDP |
DNS解析 |
BIND/Dnsmasq |
VPS防火墙端口放行指南
核心端口放行清单
根据VPS常见用途,以下是必须放行的基础端口配置:
| 端口范围 |
协议 |
安全建议 |
典型应用场景 |
| 20-21 |
TCP |
使用SFTP替代 |
FTP文件传输 |
| 25 |
TCP |
建议限制IP |
SMTP邮件服务 |
| 53 |
UDP |
启用DNSSEC |
DNS服务器 |
| 3389 |
TCP |
修改默认端口 |
Windows RDP |
分步配置流程
1. 查看当前防火墙规则
sudo ufw status numbered # Ubuntu/Debian
sudo firewall-cmd --list-ports # CentOS
2. 放行SSH端口(示例)
sudo ufw allow 22/tcp # Ubuntu
sudo firewall-cmd --add-port=22/tcp --permanent # CentOS
3. 配置Web服务端口
# 同时放行HTTP和HTTPS
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
常见问题排查
| 现象 |
可能原因 |
解决方案 |
| 无法SSH连接 |
防火墙阻止22端口 |
检查规则是否包含22/tcp |
| 网站502错误 |
80端口未放行 |
验证Nginx/Apache监听状态 |
| 数据库连接失败 |
3306端口限制 |
添加MySQL白名单规则 |
高级配置建议
- 端口范围限制:仅对可信IP开放管理端口
- 协议优化:禁用不必要的UDP端口
- 日志监控:定期检查
/var/log/uf.log异常连接记录
注意:生产环境建议使用fail2ban等工具防御暴力破解,重要服务应配置双因素认证。
发表评论