端口连不上需同时满足服务监听、防火墙放行、服务无访问限制三条件；先用ss查监听地址是否为0.0.0.0，再查firewalld/ufw规则，最后验证云安全组、SELinux、NAT网关等中间环节。

端口连不上，不是单纯“开个端口”就能解决的事。关键要看服务有没有真正在监听、防火墙有没有放行、服务自身有没有限制访问来源——三者必须同时满足，连接才可能成功。

确认服务是否在监听目标端口

如果服务压根没起来，或监听了错误地址，外部自然连不上。

• 用 ss -tuln | grep :端口号 查看端口是否处于 LISTEN 状态（推荐，比 netstat 更轻量）
• 注意监听地址：若显示 127.0.0.1:3306 或 ::1:3306，说明只允许本地访问；要远程连，得是 *:3306 或 0.0.0.0:3306
• 常见服务默认绑定限制：
    • MySQL 默认 bind-address = 127.0.0.1 → 改为 0.0.0.0 并授权远程用户
    • Redis 默认开启 protected-mode yes → 连不上时先试 protected-mode no
    • MongoDB 默认 bindIp: 127.0.0.1 → 改为 0.0.0.0 或追加内网IP

检查系统防火墙是否拦截流量

即使服务监听了 0.0.0.0，防火墙仍可能把请求挡在门外。

• 查状态：
    • CentOS/RHEL 7+：firewall-cmd --state（running 表示启用）
    • Debian/Ubuntu：sudo ufw status verbose
• 查规则：
    • firewalld：firewall-cmd --list-ports 或 --list-all
    • iptables：sudo iptables -L -n -v | grep 端口号
• 临时放行（验证用）：
    • firewalld：firewall-cmd --add-port=8080/tcp --permanent && firewall-cmd --reload
    • ufw：sudo ufw allow 8080

验证服务与防火墙的协同效果

单看服务或单看防火墙都可能漏掉“配合问题”。建议按顺序实测：

• 从服务器本机测试：curl -v http://127.0.0.1:端口 → 成功？说明服务正常，问题出在网络层
• 从同网段另一台机器 telnet：telnet 服务器IP 端口 → 失败？优先查防火墙和监听地址
• 若云服务器（如阿里云、腾讯云），务必同步检查安全组规则：控制台里开放对应端口，且源IP范围合理（别只写 0.0.0.0/0，测试后应收紧）
• 服务日志是线索来源：
    • MySQL 查 /var/log/mysqld.log 或 journalctl -u mysqld
    • Redis 查 journalctl -u redis，留意 bind、protected-mode、port 相关提示

补充：容易被忽略的中间环节

有些问题不在服务或防火墙本身，而在路径中：

• SELinux 启用时可能阻止网络绑定（尤其非标准端口）：getenforce 查状态，临时关闭用 setenforce 0 测试
• 云平台 NAT 网关或负载均衡器未转发该端口，或健康检查失败导致后端被摘除
• 服务进程启动失败但 systemd 显示 active（exited）：用 systemctl status 服务名 看详细退出原因
• IPv6 配置干扰：若服务监听了 IPv6 地址但网络不支持，可能影响连接稳定性，可临时禁用 IPv6 测试