安全组规则只是云平台层面的第一道门槛，如果操作系统内部防火墙未放行或服务未监听公网 IP，端口即使放行也无法访问。

命令速用版

登录 CVM 后，快速检查端口监听状态和防火墙规则（多数命令需要 root 权限）：

# 检查端口是否监听及监听地址（需 sudo）
sudo ss -tlnp | grep 端口号

# CentOS 7+/RedHat 查看 firewalld 状态
systemctl status firewalld

# Ubuntu 查看 ufw 状态
sudo ufw status

# 临时关闭防火墙测试（生产环境严禁长期使用，排查后立即恢复）
sudo systemctl stop firewalld

为什么会这样

腾讯云安全组作用于虚拟化网络层，数据包到达 CVM 之前会先经过安全组过滤。但数据包进入操作系统后，还会经过内核防火墙（如 iptables、firewalld）。

此外，服务程序本身可能只绑定了本地回环地址（127.0.0.1），导致外网请求即使通过了防火墙，也无法被应用程序接收。

分步处理

1. 复核安全组规则

登录腾讯云控制台，进入安全组页面。确认规则方向为“入站”，协议类型（TCP/UDP）与端口号无误。授权对象建议遵循最小权限原则，避免直接使用 0.0.0.0/0，尽量指定具体客户端 IP。

2. 检查系统内部防火墙

不同操作系统默认防火墙工具不同。CentOS 7+ 常用 firewalld，Ubuntu 常用 ufw，早期版本可能直接使用 iptables。

若确认是防火墙拦截，需添加放行规则而非直接关闭防火墙。例如 firewalld 添加端口（注意命令格式，不要包含反引号）：

sudo firewall-cmd `--zone`=public `--add-port`=80/tcp `--permanent`
sudo firewall-cmd `--reload`

3. 排查网络 ACL

若安全组已放行但仍不通，检查 CVM 所属子网是否关联了网络 ACL。ACL 规则优先级低于安全组但高于实例，若 ACL 设置了拒绝规则，会导致流量在子网层面被丢弃。

4. 检查服务监听地址

使用 sudo ss -tlnp 查看服务监听地址。若显示 127.0.0.1:端口，则外网无法访问。需修改服务配置文件，将监听地址改为 0.0.0.0 或具体公网 IP。

怎么验证是否生效

在本地电脑（非 CVM 内部）使用命令行工具测试：

# Windows PowerShell (推荐，无需安装额外组件)
Test-NetConnection -ComputerName 公网 IP -Port 端口

# Windows 命令提示符 (需手动开启 Telnet 客户端)
telnet 公网 IP 端口

# Linux/Mac 终端
nc -zv 公网 IP 端口
curl -v http://公网 IP:端口

若连接成功，说明链路通畅；若连接超时或被拒绝，则仍需排查上述步骤。

常见坑

• 监听地址错误：很多服务默认只监听 localhost，修改配置后需重启服务。
• 协议选错：安全组放了 TCP，但服务用的是 UDP，或者反之。
• ICMP 与端口混淆：安全组未放行 ICMP 协议会导致 ping 不通，但这不影响 TCP 端口访问，不要用 ping 不通直接判断端口不通。
• 多网卡环境：若 CVM 绑定多个弹性网卡，安全组需关联到正确的网卡所在子网。
• 生产环境风险：排查时临时关闭防火墙后，务必记得重新开启，避免服务器长期暴露。

参考来源

• 腾讯云官方文档 - 安全组概述：https://cloud.tencent.com/document/product/213/16496
• 腾讯云官方文档 - 云服务器网络不通排查：https://cloud.tencent.com/document/product/213/19426