遇到阿里云 ECS 无法远程连接,最常见的原因是安全组 inbound 规则未放行 SSH 或 RDP 端口,建议优先登录阿里云控制台检查安全组配置,确认端口 22 或 3389 是否对当前公网 IP 开放。
先说结论:大部分无法远程的问题源于安全组 inbound 规则缺失或源 IP 限制过严,优先在控制台放行端口即可恢复。
- 先确认:检查安全组 inbound 规则是否存在对应端口且授权对象包含当前 IP。
- 先处理:在控制台添加允许规则,优先级设为 1,源地址暂设为 0.0.0.0/0 测试(⚠️注意:测试连通后请立即改为特定 IP,避免端口长期暴露)。
- 再验证:使用 SSH 或远程桌面工具重新连接,成功后再收紧源 IP 限制。
快速处理思路
由于无法远程连接实例内部,无法通过命令修改配置,必须通过阿里云控制台操作安全组。
1. 登录阿里云 ECS 控制台,找到目标实例。
2. 点击实例 ID 进入详情页,找到“安全组”标签页。
3. 点击“配置规则”,选择“入方向”,添加允许规则。
4. 端口填写 22(Linux)或 3389(Windows),授权对象填写 0.0.0.0/0 临时测试(⚠️注意:测试连通后请立即改为特定 IP,避免端口长期暴露)。
分步处理
步骤 1:检查安全组入方向规则
在 ECS 控制台安全组配置页面,查看入方向规则列表。确认是否存在协议类型为 TCP,端口范围为 22 或 3389 的规则,且策略为“允许”。
步骤 2:添加或修改规则
如果没有对应规则,点击“手动添加”:
协议类型:TCP
端口范围:22/22(Linux)或 3389/3389(Windows)
授权对象:0.0.0.0/0
优先级:1
策略:允许注意:优先级数字越小优先级越高,确保该规则没有被更高优先级的拒绝规则覆盖。
步骤 3:排查实例内部防火墙
如果安全组规则已添加但仍无法连接,可能需要通过控制台“远程连接”功能登录实例内部检查。
VNC 登录路径:实例详情页 -> 点击“连接”按钮 -> 选择“远程连接”(VNC 或 Workbench)-> 输入 VNC 密码登录。
Linux 检查命令:
systemctl status firewalld
ufw statusWindows 检查:打开“控制面板”->“Windows Defender 防火墙”,确认远程桌面例外是否勾选。
怎么验证是否生效
1. 直接连接测试:保存安全组规则后,立即尝试使用 SSH 客户端或远程桌面工具连接。
2. 端口连通性测试:在本地电脑使用 telnet 或 nc 命令测试端口是否通。
telnet <公网 IP> 22(若命令不存在,可使用 nc -zv <公网 IP> 22 或 PowerShell Test-NetConnection)
nc -zv <公网 IP> 22
PowerShell: Test-NetConnection -ComputerName <公网 IP> -Port 22如果显示 Connection succeeded 或 Connected,说明网络链路已通,问题可能转为账号密码错误或服务未启动。
常见坑
1. 优先级覆盖:安全组规则按优先级顺序匹配,如果有一条优先级更高(数字更小)的拒绝规则匹配了你的 IP,允许规则将不生效。例如:优先级 1 拒绝所有,优先级 2 允许 22,则 22 端口仍被拒绝。
2. 公网 IP 变动:如果是按量付费实例且未绑定弹性公网 IP,重启后公网 IP 可能变化,导致之前绑定的 IP 白名单失效。
3. 内部服务未启动:安全组通了但 SSH 服务(sshd)或 Remote Desktop Services 未运行,也会连接失败,需通过 VNC 确认服务状态。
4. 账号锁定:多次密码错误可能触发 fail2ban 或系统账号锁定策略,此时网络是通的但认证失败。
5. 安全风险:临时开放 0.0.0.0/0 可能导致端口暴露给全网扫描,若用户忘记收紧规则存在暴力破解风险,务必测试后收回权限。
原文链接:https://www.zjcp.cc/ask/11348.html