香港服务器TCP端口设置指南

一 基础原则与最小暴露

• 采用最小权限原则：仅开放业务必需的TCP端口，默认拒绝其他所有入站连接。
• 分层放行：同时配置云服务商安全组与操作系统防火墙（iptables/ufw/firewalld），规则需一致。
• 优先加密：对外服务尽量使用TLS/SSL，如将 HTTP(80) 仅用于跳转至 HTTPS(443)。
• 管理通道加固：对 SSH(22) 建议更改默认端口、禁用 root 直登、启用密钥登录。
• 数据库不出公网：如 MySQL(3306)、PostgreSQL(5432) 默认仅监听 127.0.0.1，远程访问需显式放通并配合IP 白名单或更安全的隧道/VPN。
• 邮件端口策略：25 端口常被云厂商默认封锁且易被滥用，优先使用 587/993/995 等加密端口；如无自建邮件刚需，建议使用第三方邮件服务。

二 常见场景与推荐端口

以上端口为常见实践，具体以业务需求为准，避免“全开”。
三 配置步骤与命令示例

• 云安全组（以通用控制台为例）

1) 入站规则：协议选 TCP，端口填写如 80/443/22 或范围 3000-8080；源地址尽量用固定办公网段/CIDR，少用 0.0.0.0/0。
2) 出站规则：如无特殊限制，可放行 TCP 0-65535 到 0.0.0.0/0，便于系统及依赖组件对外访问。
3) 保存并应用到实例。

• 操作系统防火墙
• UFW（Ubuntu/Debian）
• 放行端口：sudo ufw allow 443/tcp、sudo ufw allow 22/tcp
• 启用：sudo ufw enable
• firewalld（CentOS/RHEL）
• 放行端口：sudo firewall-cmd --permanent --add-port=443/tcp、sudo firewall-cmd --reload
• iptables（通用）
• 放行端口：sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
• 端口映射（DNAT，适用于将公网端口转发至本机或内网）
• 将公网 8080/TCP 转发至本机 127.0.0.1:3000/TCP：
• sudo iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 127.0.0.1:3000
• sudo iptables -A FORWARD -p tcp -d 127.0.0.1 --dport 3000 -j ACCEPT
• 持久化：iptables 规则需按系统保存（如 iptables-save/netfilter-persistent），ufw/firewalld 启用即持久。
• 面板端口（如宝塔）
• 默认管理端口为 8888/TCP；如变更，需同步更新安全组与防火墙放行规则。

四 连通性测试与验证

• 本机监听检查：ss -tlnp | grep -E '(:80|:443|:22|:3000)' 或 netstat -tulpen | grep LISTEN
• 云安全组与系统防火墙核对：确认规则方向、协议、端口、源地址一致生效。
• 远程连通性测试：
• telnet 你的公网IP 443（成功会建立连接）
• nc -vz 你的公网IP 443（显示 succeeded）
• 在线端口检测工具或另一台公网主机测试
• 服务可用性：浏览器访问 https://你的域名，或在 API 客户端测试对应 TCP 端口。

五 安全加固与运维建议

• 访问控制：对管理口（如 22/8888）与数据库端口实施来源 IP 白名单；必要时通过 VPN/跳板机访问。
• 加密与证书：全站启用 HTTPS(443)，使用 Let’s Encrypt 等免费证书，定期轮换。
• 邮件端口策略：避免自建邮件直连公网 25；使用 587/993/995 或第三方服务，降低被列入黑名单风险。
• 变更与审计：遵循变更流程，保留规则变更记录；建议每季度进行一次端口与规则审计，清理无用暴露。