哎我说,好不容易买了阿里云服务器,网站死活打不开?数据库连不上?八成是端口没开对!今儿咱就手把手教你玩转这\”开关游戏\”,保你半小时内从懵逼到精通!
一、安全组:阿里云特供的\”门卫系统\”
重点来了啊!这玩意儿跟咱家里防盗门似的,得先给快递员(数据流量)开门才能收包裹(访问服务)。去年有个老哥折腾三天没弄好网站,结果发现压根没配安全组,你说冤不冤?
实战三步走:
- 登录控制台→云服务器ECS→找到你的小鸡实例
- 点开安全组配置,就跟找遥控器开关似的
- 点【手动添加】,TCP协议填端口号,授权对象写0.0.0.0/0(注意斜杠别反了)
避坑指南:
- 80/80这种写法才精准,直接写80可能漏掉端口段
- 别手贱开全端口!去年双十一就有商家被开了22端口,黑客三分钟攻破
二、系统防火墙:服务器自带的\”防盗门\”
你以为开了安全组就完事?Too young!系统里还有道门呢。这就好比小区门卫放行了,你家防盗门没开照样进不去。
CentOS用户看这里:
# 查看已开端口(跟查监控似的)
firewall-cmd --list-ports
# 开新端口(记得加--permanent永久生效)
firewall-cmd --zone=public --add-port=80/tcp --permanent
# 重启服务(就跟重启路由器一个道理)
systemctl restart firewalld
Windows用户别哭:
控制面板→系统和安全→Windows Defender防火墙→高级设置→入站规则→新建规则,选端口下一步到底
三、经典翻车现场:六大作死操作排行榜
- 安全组和防火墙二选一 → 必死!得双重确认
- 端口范围写成80-80 → 正确是80/80,差个符号全完蛋
- 忘记开HTTPS的443端口 → 网站能打开但显示不安全
- SSH端口长期开放22 → 等着被爆破吧,赶紧改个50000+的冷门端口
- MySQL开3306还允许所有IP → 数据库分分钟变公共厕所
- 测试时用本地IP访问 → 得用公网IP!本地测试永远成功
四、高手秘籍:三招提升安全性
1. IP白名单玩法
把授权对象从0.0.0.0/0改成公司/家里固定IP,就跟小区刷脸进门似的安全。比如:
123.123.123.123/32
(单个IP)
123.123.0.0/16
(整个网段)
2. 端口隐身术
FTP别用默认21端口,改成51000-52000区间;远程桌面别用3389,学我用65432。黑客扫描工具都盯着常规端口呢!
3. 定时巡逻机制
每月用netstat -ntlp
查异常端口,去年有哥们发现服务器莫名开了666端口,一查竟是挖矿病毒
个人观点
说实话,新手直接用宝塔面板省事儿!它自动帮你配好安全组+防火墙,还能图形化操作。不过真要想成为运维老司机,还是得摸透底层原理。记住啊,开端口就像开门——既要方便客人,也得防着小偷,这个度可得拿捏准了!