云主机怎么映射端口？

1、云服务商的安全组/防火墙：控制从互联网到云主机入口的流量。

2、云主机操作系统自带的防火墙：控制到达云主机后，系统内部对端口的放行。

两者必须同时配置正确，端口才能成功映射。

你可以把云主机想象成一个有门卫（云防火墙）和室内门锁（系统防火墙）的房间，你需要同时告诉门卫允许某人进入大楼，并且打开房间的锁，客人才能进来。

通用操作步骤（以搭建一个Web服务器为例，映射80端口）

第一步：配置云服务商的安全组/防火墙（最重要的一步）

这是最容易遗漏的一步，登录你所用云平台的控制台。

核心概念：

入方向/入站规则控制外部访问云主机的流量。

出方向/出站规则控制云主机访问外部的流量（通常默认允许所有）。

端口范围要开放的端口，如80（HTTP）、443（HTTPS）、3389（Windows远程桌面）、22（SSH）、25565（Minecraft）等。

授权对象/源允许访问的IP范围。0.0.0.0/0 表示允许所有IP访问（有安全风险，生产环境慎用），建议设置为自己的公网IP或特定IP段。

操作流程（各平台名称略有不同）：

1、 进入云主机管理列表。

2、 找到你的云主机实例，点击进入详情。

3、 找到“安全组”（阿里云/腾讯云）、“防火墙规则”（Vultr/DigitalOcean）、“VPC网络-防火墙规则”（Google Cloud）、“网络安全组”（Azure）或类似选项。

4、添加入站规则：

类型/协议选择自定义TCP（或根据服务选择HTTP、HTTPS）。

端口填写80（如果是范围，填80-80 或80）。

源/源IP根据需求填写，测试时可设为0.0.0.0/0，上线后建议修改。

策略选择允许。

5、 保存规则，通常规则会立即生效或稍等片刻。

常见平台入口示例：

阿里云ECS实例 -> 更多 -> 网络和安全组 -> 安全组配置 -> 配置规则 -> 手动添加。

腾讯云实例详情页 -> 安全组 -> 点击安全组ID进入 -> 入站规则 -> 添加规则。

华为云弹性云服务器 -> 安全组 -> 配置规则 -> 入方向规则 -> 添加规则。

第二步：配置云主机操作系统内部的防火墙

即使云防火墙放行了，系统自身的防火墙如果阻止，依然无法访问。

对于 Linux 系统（以 CentOS 7+/Ubuntu 16.04+ 为例，使用firewalld）

1. 检查防火墙状态和已开放端口
sudo firewall-cmd --state
sudo firewall-cmd --list-all
2. 开放指定端口（80/TCP）
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
3. 如果是要开放一个服务（firewalld 预定义了服务名，更安全）
sudo firewall-cmd --zone=public --add-service=http --permanent
4. 重载防火墙配置使其生效
sudo firewall-cmd --reload
5. 再次确认端口已开放
sudo firewall-cmd --list-ports
或
sudo firewall-cmd --list-services

对于使用ufw 的 Ubuntu/Debian：

sudo ufw allow 80/tcp
sudo ufw status verbose # 查看状态

对于使用iptables 的旧系统：

sudo iptables -I INPUT -p tcp --dport 80 -j ACCEPT
然后保存规则（根据发行版命令不同）
sudo service iptables save
或
sudo iptables-save > /etc/sysconfig/iptables

对于 Windows 系统

1、 打开“控制面板” ->“系统和安全” ->“Windows Defender 防火墙”。

2、 点击“高级设置”。

3、 在左侧选择“入站规则”，右侧点击“新建规则...”。

4、 规则类型选择“端口”，点击下一步。

5、 选择TCP 或UDP，输入特定端口号80，点击下一步。

6、 选择“允许连接”，点击下一步。

7、 选择应用此规则的网络配置文件（域、专用、公用），通常全选，点击下一步。

8、 给规则起个名字，如 “Web Server (Port 80)”，点击完成。

第三步：测试端口是否开放

在本地电脑上使用telnet 或nc 命令测试，或者使用在线端口扫描工具。

使用 telnet 测试（Windows 需在“启用或关闭Windows功能”中安装）：

telnet 你的云主机公网IP 80

如果连接成功（光标闪烁或显示空白），说明端口已通，如果连接失败，说明配置仍有问题。

使用在线工具：

搜索 “在线端口扫描”，输入你的云主机公网IP和端口号进行检测。

端口映射的典型应用场景示例

1、搭建网站：

服务端口80 (HTTP)，443 (HTTPS)

* 需在云防火墙和系统防火墙中同时开放。

2、远程连接 Linux 服务器：

服务端口22 (SSH)

*注意为安全起见，建议将云防火墙的源IP设置为自己的办公或家庭IP，而非0.0.0.0/0。

3、远程连接 Windows 服务器：

服务端口3389 (RDP)

* *强烈建议修改默认端口并设置强密码，因为此端口常被暴力破解。

4、搭建游戏服务器（如Minecraft）：

服务端口25565 (默认)

* 需要在云防火墙和系统防火墙中开放此TCP+UDP 端口。

5、内网穿透或运行特定应用：

* 如运行一个在8080 端口的Node.js应用，只需将上述步骤中的端口号改为8080 即可。

故障排查清单（如果端口不通）

1、确认云服务商的安全组/防火墙已正确配置（入方向，对应端口，允许策略）。

2、确认云主机操作系统防火墙已放行该端口。

3、确认服务正在云主机上运行并监听正确端口：

* Linux:sudo netstat -tunlp | grep :80

* Windows:netstat -ano | findstr :80

4、检查云主机是否绑定了公网IP（有些内网机器需要单独申请弹性公网IP并绑定）。

5、部分云服务商（如阿里云）的“安全组”需关联到实例，检查规则是否已应用到你的云主机。

6、检查本地网络或运营商是否屏蔽了该端口（可换用手机热点测试）。

7、重启云主机或相关网络服务。

安全警告：开放端口意味着增加攻击面，务必遵循最小权限原则：

仅开放必要的端口。

为云防火墙的“源IP”设置尽可能小的IP范围（不要总是用0.0.0.0/0）。

为服务设置强密码或密钥认证。

定期更新系统和软件补丁。

文章摘自：https://idc.huochengrm.cn/zj/23577.html