一、问题基础信息1. 业务架构采用公网跳板机反向代理内网服务架构企业常用内网服务外网隔离方案公网跳板机IP218.xx.xx.xx云服务器外网唯一入口域名client.xxx-domain.comDNS解析指向上述公网IP80端口对外公开业务后台系统全网可访问443端口对外公开客户端后台系统支持全网可访问适配外网用户访问客户端后台业务2. 故障现象http://218.xx.xx.xx:80正常连通、页面可正常访问https://218.xx.xx.xx:443请求超时、TCP连接失败业务影响外网无法正常访问客户端后台系统网页报错网页解析失败可能是不支持的网页类型请检查网页或稍后重试3. 本地网络校验结果外网正常百度443端口连通正常本地网络、防火墙无异常端口差异化异常仅目标服务器443端口阻断80端口完全通畅二、核心原理为何域名能访问内网服务器内网服务器为私有IP网段无法直接被外网访问依靠公网跳板机 Nginx反向代理实现外网访问内网服务完整流程本地DNS解析client.xxx-domain.com 解析到公网跳板IP 218.xx.xx.xx本地发起TCP连接访问跳板机对应端口云安全组校验流量放行后进入跳板机系统跳板机Nginx根据域名/端口匹配对应内网服务跳板机通过内网专线转发请求至真实内网业务服务器内网服务处理请求原路返回数据至本地端口业务定位逻辑80端口、443端口均为对外公开业务端口承载不同模块的后台系统均需支持全网访问原外网隔离策略已取消适配公开业务需求三、443端口超时根本原因精准定位网络访问存在两层防火墙拦截机制必须同时放行才可连通缺一不可1. 第一层云平台安全组外网入口默认配置仅放行80端口全网访问443端口默认未对外开放外网流量直接在云网关被丢弃需手动配置全网放行规则。2. 第二层服务器系统内部防火墙本机入口即使安全组放行443服务器Windows/Linux内部防火墙未添加443入站规则流量进入服务器后被系统拦截TCP握手失败。3. 辅助潜在原因Nginx未监听443端口、SSL证书异常服务未启动运维安全策略443端口为公开客户端后台业务需放开全网访问权限默认未开放需手动配置两层防火墙放行规则四、完整问题处理流程从临时解决到根治方案二根治方案运维配置永久恢复443访问核心两层防火墙必须同时放行443端口步骤1云安全组放行443端口优先IP白名单安全可控规则方向入方向协议TCP端口443/443授权对象0.0.0.0/0全网所有IPv4地址实现443端口全网可访问步骤2服务器内部防火墙放行443端口Windows服务器防火墙高级设置 → 新建入站规则 → 放行TCP 443端口Linux服务器CentOSfirewall-cmd --add-port443/tcp --permanent firewall-cmd --reload步骤3校验服务状态确认Nginx正常监听443端口、SSL证书配置正常确认跳板机与内网客户端服务链路通畅步骤4本地验证连通性Test-NetConnection 218.xx.xx.xx -Port 443返回 TcpTestSucceeded: True 即为配置生效可正常对外提供客户端后台访问服务五、关键核心结论避坑重点只开安全组、不开系统防火墙443绝对无法访问两层防火墙缺一不可ping超时 ≠ 服务宕机服务器可禁用ICMPping端口连通性才是业务可用标准80和443为两套独立服务、独立防火墙规则80通不代表443通443端口为对外公开客户端后台系统可配置0.0.0.0/0全网放行面向全网用户提供服务需做好系统登录鉴权、接口安全防护、漏洞加固等配置最优长期方案开发连接公司VPN内网环境天然放行443端口无需修改安全组六、排查命令汇总# 测试公网连通性 Test-NetConnection www.baidu.com -Port 443# 测试目标80端口连通性 Test-NetConnection 218.xx.xx.xx -Port 80# 测试目标443端口连通性 Test-NetConnection 218.xx.xx.xx -Port 443# 路由追踪故障节点 tracert 218.xx.xx.xx
公网转发服务器访问超时问题排查总结
一、问题基础信息1. 业务架构采用公网跳板机反向代理内网服务架构企业常用内网服务外网隔离方案公网跳板机IP218.xx.xx.xx云服务器外网唯一入口域名client.xxx-domain.comDNS解析指向上述公网IP80端口对外公开业务后台系统全网可访问443端口对外公开客户端后台系统支持全网可访问适配外网用户访问客户端后台业务2. 故障现象http://218.xx.xx.xx:80正常连通、页面可正常访问https://218.xx.xx.xx:443请求超时、TCP连接失败业务影响外网无法正常访问客户端后台系统网页报错网页解析失败可能是不支持的网页类型请检查网页或稍后重试3. 本地网络校验结果外网正常百度443端口连通正常本地网络、防火墙无异常端口差异化异常仅目标服务器443端口阻断80端口完全通畅二、核心原理为何域名能访问内网服务器内网服务器为私有IP网段无法直接被外网访问依靠公网跳板机 Nginx反向代理实现外网访问内网服务完整流程本地DNS解析client.xxx-domain.com 解析到公网跳板IP 218.xx.xx.xx本地发起TCP连接访问跳板机对应端口云安全组校验流量放行后进入跳板机系统跳板机Nginx根据域名/端口匹配对应内网服务跳板机通过内网专线转发请求至真实内网业务服务器内网服务处理请求原路返回数据至本地端口业务定位逻辑80端口、443端口均为对外公开业务端口承载不同模块的后台系统均需支持全网访问原外网隔离策略已取消适配公开业务需求三、443端口超时根本原因精准定位网络访问存在两层防火墙拦截机制必须同时放行才可连通缺一不可1. 第一层云平台安全组外网入口默认配置仅放行80端口全网访问443端口默认未对外开放外网流量直接在云网关被丢弃需手动配置全网放行规则。2. 第二层服务器系统内部防火墙本机入口即使安全组放行443服务器Windows/Linux内部防火墙未添加443入站规则流量进入服务器后被系统拦截TCP握手失败。3. 辅助潜在原因Nginx未监听443端口、SSL证书异常服务未启动运维安全策略443端口为公开客户端后台业务需放开全网访问权限默认未开放需手动配置两层防火墙放行规则四、完整问题处理流程从临时解决到根治方案二根治方案运维配置永久恢复443访问核心两层防火墙必须同时放行443端口步骤1云安全组放行443端口优先IP白名单安全可控规则方向入方向协议TCP端口443/443授权对象0.0.0.0/0全网所有IPv4地址实现443端口全网可访问步骤2服务器内部防火墙放行443端口Windows服务器防火墙高级设置 → 新建入站规则 → 放行TCP 443端口Linux服务器CentOSfirewall-cmd --add-port443/tcp --permanent firewall-cmd --reload步骤3校验服务状态确认Nginx正常监听443端口、SSL证书配置正常确认跳板机与内网客户端服务链路通畅步骤4本地验证连通性Test-NetConnection 218.xx.xx.xx -Port 443返回 TcpTestSucceeded: True 即为配置生效可正常对外提供客户端后台访问服务五、关键核心结论避坑重点只开安全组、不开系统防火墙443绝对无法访问两层防火墙缺一不可ping超时 ≠ 服务宕机服务器可禁用ICMPping端口连通性才是业务可用标准80和443为两套独立服务、独立防火墙规则80通不代表443通443端口为对外公开客户端后台系统可配置0.0.0.0/0全网放行面向全网用户提供服务需做好系统登录鉴权、接口安全防护、漏洞加固等配置最优长期方案开发连接公司VPN内网环境天然放行443端口无需修改安全组六、排查命令汇总# 测试公网连通性 Test-NetConnection www.baidu.com -Port 443# 测试目标80端口连通性 Test-NetConnection 218.xx.xx.xx -Port 80# 测试目标443端口连通性 Test-NetConnection 218.xx.xx.xx -Port 443# 路由追踪故障节点 tracert 218.xx.xx.xx
