VPS连接异常防火墙规则设置图解指南

一、VPS连接异常诊断流程

当SSH客户端提示"Connection timed out"或"Connection refused"时，需确认异常类型。使用telnet命令测试目标端口连通性：
telnet your_server_ip 22
若返回"Unable to connect"，说明存在防火墙拦截或服务未运行。此时应登录云服务商控制台，检查安全组规则是否放行目标端口（云服务器安全组配置）。同时通过VNC方式登录服务器，使用systemctl status firewalld命令查看防火墙运行状态。

二、防火墙基础规则检查方法

对于使用iptables的传统系统，执行iptables -L -n命令查看当前规则链。重点关注INPUT链中的ACCEPT规则是否包含SSH端口（默认22）。若发现DROP all策略，需插入允许规则：
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
使用firewalld的系统可通过firewall-cmd --list-all查看区域配置。永久开放端口应添加--permanent参数，并注意重载防火墙服务。这里需要特别留意UFW管理工具在Ubuntu系统的差异配置。

三、SSH服务连接问题专项处理

当基础端口开放后仍无法连接，需检查SSH服务配置。编辑/etc/ssh/sshd_config文件，确认PermitRootLogin和PasswordAuthentication参数设置。修改后需重启sshd服务。建议同时配置fail2ban防御暴力破解，这需要同步调整防火墙规则以允许相关日志监控端口。

四、高级防火墙策略配置图解

通过可视化工具Webmin或Cockpit管理防火墙规则更直观。图示展示如何创建端口转发规则：将外部8080请求转发至内部80端口。对于需要开放范围的场景（如FTP被动模式），应使用firewall-cmd --add-port=30000-40000/tcp格式批量添加。端口扫描检测功能可通过配置recent模块实现异常IP自动封禁。

五、云平台安全组与本地防火墙协同

阿里云、AWS等平台的安全组规则需与实例防火墙配合工作。典型错误是仅配置了安全组开放端口，但未设置本地防火墙规则。图解演示如何创建匹配的安全组入站规则，并同步修改实例的firewalld公共区域设置。跨区域访问时，需要特别注意VPC网络ACL与实例级防火墙的优先级关系。

六、防火墙规则持久化与备份策略

使用iptables-save > /etc/iptables.rules实现规则持久化，或通过firewall-cmd --runtime-to-permanent转换临时规则。建议定期备份防火墙配置，可使用crontab定时任务自动备份至/var/backups目录。对于复杂规则体系，可编写ansible剧本实现多节点批量配置，确保规则版本一致性。