TCP端口连接失败排查指南

欢迎大家来到IT世界,在知识的湖畔探索吧!

TCP端口连接失败的常见场景

TCP端口连接失败可能由以下原因导致：

• 服务未启动：目标端口未被程序监听
• 防火墙拦截：本地或远程防火墙阻止连接
• 路由问题：网络路径中存在丢包或拦截
• 端口冲突：端口被其他程序占用
• 监听地址或协议不匹配：部分程序,例如新版MySQL需要手动设置监听地址,否则只能使用localhost连接，同时有些程序默认仅监听IPV6地址，导致使用IPV4连接失败

服务端口监听

故障问题排查第一步是优先检查服务端环境

# 查看所有监听的TCP端口 sudo netstat -tuln | grep <端口号> # 或使用ss命令（更高效） sudo ss -tuln | grep <端口号>

欢迎大家来到IT世界,在知识的湖畔探索吧!

欢迎大家来到IT世界,在知识的湖畔探索吧!# 通过端口查找进程 sudo lsof -i :<端口号> # 检查服务是否运行（以nginx为例） systemctl status nginx

务必确保监听地址为: 0.0.0.0

如下

root@Debian12:~# netstat -ntlp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:13001 0.0.0.0:* LISTEN /docker-proxy tcp 0 0 0.0.0.0:13000 0.0.0.0:* LISTEN /docker-proxy tcp 0 0 0.0.0.0:9095 0.0.0.0:* LISTEN /docker-proxy 

如果监听的端口和地址都没问题,那么下一步就是检查服务端的防火墙

防火墙配置检查

firewalld配置

欢迎大家来到IT世界,在知识的湖畔探索吧!# 临时开放端口（重启后失效） sudo firewall-cmd --add-port=8080/tcp # 永久开放端口 sudo firewall-cmd --permanent --add-port=8080/tcp sudo firewall-cmd --reload

请修改端口后执行

ufw配置

# 开放单个端口 sudo ufw allow 8080/tcp # 保存并生效配置 sudo ufw enable

iptables规则

欢迎大家来到IT世界,在知识的湖畔探索吧!# 查看当前iptables规则 sudo iptables -L -n -v # 临时放行端口（例如开放8080） sudo iptables -A INPUT -p tcp --dport 8080 -j ACCEPT # 保存规则（不同系统路径不同） sudo iptables-save > /etc/iptables/rules.v4 # Debian sudo service netfilter-persistent save # Ubuntu

客户端验证

# 测试目标IP和端口是否可连接（需安装nc） nc -zv <目标IP> <端口号>

如果以上配置做了还是不行，则需要定位拦截节点

端口追踪工具：定位网络路径阻塞点

欢迎大家来到IT世界,在知识的湖畔探索吧!# 安装tcptraceroute（如未安装） sudo apt install tcptraceroute # Debian/Ubuntu sudo yum install tcptraceroute # CentOS/RHEL # 执行追踪 sudo tcptraceroute <目标IP> <端口号>

• 若某跳显示* * *：可能该节点防火墙拦截了流量
• 最后一跳未响应：目标服务器未监听该端口或被防火墙拦截

欢迎大家来到IT世界,在知识的湖畔探索吧!

最后一跳的IP地址与目标地址一致即为成功