Ubuntu云服务器配置UFW后Apache无法访问？

刚在Ubuntu云服务器上部署完Apache（开源Web服务器软件），本地用localhost测试能正常打开默认页面。为提升安全性配置了UFW（Uncomplicated Firewall，简易防火墙）并启用，结果外部浏览器访问云服务器公网IP时，要么显示无法连接，要么加载超时。关闭UFW后访问恢复正常，这是新手操作云服务器时常见的问题。本文从现象还原、逐步诊断到针对性解决，帮你快速排查故障。

一、典型现象还原

多数用户的操作流程是这样的：在Ubuntu云服务器执行

apt install apache2

安装Apache，用

curl localhost

测试能返回默认页面代码。接着执行

ufw allow 22/tcp

放行SSH（远程登录协议）端口，再用

ufw enable

启用防火墙。最后用本地浏览器输入云服务器公网IP，页面显示无法访问或连接超时，关闭UFW后访问又恢复正常。

这说明问题的核心矛盾在UFW防火墙配置与Apache端口的放行逻辑上，也可能涉及云服务器底层的网络规则。

二、逐步排查诊断

1. 确认Apache服务状态是否正常

先排除Apache自身故障，执行命令：

systemctl status apache2

查看输出是否显示“active (running)”。如果是“inactive”或“failed”，先执行

systemctl start apache2

启动服务再测试。关闭UFW后能访问的话，这一步大概率无异常，可快速跳过。云服务器上的服务故障多由配置冲突引发，而非服务本身异常。

2. 检查UFW当前规则是否放行Apache端口

执行

ufw status numbered

查看规则列表。如果列表中没有“80/tcp”（HTTP，超文本传输协议）或“443/tcp”（HTTPS，加密超文本传输协议）的允许规则，说明遗漏了Apache端口放行。如果有对应规则，留意“TO”列是否为“Anywhere”，是否被优先级更高的拒绝规则覆盖，比如列表上方存在“deny Anywhere”规则。云服务器的防火墙规则优先级直接影响外部请求的通行逻辑，需仔细核对。

3. 验证云服务商底层安全组规则

这是最容易忽略的点。即使UFW放行端口，云服务商提供的底层安全组（网络防火墙）未开放80/443端口，外部请求依然无法到达服务器。登录云服务器管理控制台，找到对应实例的安全组配置项，查看入站规则是否允许来自“0.0.0.0/0”的80、443端口访问。

4. 确认Apache监听端口是否非默认

如果修改过Apache的监听端口（比如8080），但UFW只放行了默认的80/443，自然无法访问。执行命令：

grep -i listen /etc/apache2/ports.conf

查看输出中的“Listen”行，确认实际监听的端口号。

三、针对性解决方法

1. 放行Apache默认端口（最常见解决）

UFW预定义了Apache的应用规则，直接执行：

ufw allow 'Apache Full'

该规则会同时放行80（HTTP）和443（HTTPS）端口，执行

ufw reload

重载规则后，再次测试访问。若只需HTTP服务，可执行

ufw allow 'Apache'

仅放行80端口。云服务器上的Web服务端口放行需匹配服务配置，预定义规则能减少手动失误。

2. 调整UFW规则优先级

如果UFW规则列表中存在优先级更高的拒绝规则（比如编号1的规则是

deny Anywhere

），执行

ufw delete 1

删除该规则，再重新设置默认入站规则：

ufw default deny incoming

ufw allow 22/tcp

ufw allow 'Apache Full'

最后执行

ufw reload

重载规则，确保允许规则在匹配顺序中优先。

3. 配置云服务器底层安全组

登录云服务器管理控制台，进入对应实例的安全组配置页面。添加入站规则，协议选择“TCP”，端口范围填写“80,443”，源地址设置为“0.0.0.0/0”（允许所有外部IP访问）。保存规则后等待1-2分钟（规则同步需要时间），再测试访问。

4. 放行Apache自定义监听端口

如果Apache监听的是自定义端口（比如8080），执行：

ufw allow 8080/tcp

ufw reload

同时记得在云服务器底层安全组中也放行8080端口，之后再测试访问。

四、后续防范注意事项

配置UFW时，建议先添加所有需要放行的规则（如SSH、Apache），再执行

ufw enable

启用，避免启用后因规则不全导致无法通过SSH连接服务器。定期执行

ufw status numbered

检查规则，确保与服务端口配置一致。优先使用UFW预定义的应用规则（执行

ufw app list

查看），减少手动输入端口号的错误。修改服务监听端口后，务必同步更新UFW规则和云服务器底层安全组规则。