一、安全组基础配置
在阿里云控制台进入目标实例的安全组管理页面,添加新的入站规则。需设置以下参数:
- 协议类型:根据需求选择TCP/UDP
- 端口范围:填写外部访问端口(如11121)
- 授权对象:建议限定特定IP段(0.0.0.0/0为全开放)
安全组规则生效后需等待1-2分钟,建议同时检查实例关联的安全组绑定状态。
二、服务器防火墙设置
CentOS系统推荐使用firewalld防火墙执行以下操作:
- 启用防火墙:
systemctl start firewalld - 开放目标端口:
firewall-cmd --add-port=21/tcp --permanent - 重载配置:
firewall-cmd --reload
若使用iptables,需添加-A INPUT -p tcp --dport 21 -j ACCEPT规则并保存配置。
三、端口转发规则配置
通过firewalld实现11121到21端口的流量转发:
- 开启IP伪装:
firewall-cmd --add-masquerade --permanent - 创建转发规则:
firewall-cmd --add-forward-port=port=11121:proto=tcp:toport=21 - 应用新规则:
firewall-cmd --reload
该配置需与安全组规则中的11121端口开放策略配合生效。
四、配置验证与测试
完成配置后建议执行以下验证步骤:
- 使用
telnet 公网IP 11121测试端口连通性 - 检查防火墙状态:
firewall-cmd --list-all - 通过
tcpdump抓包确认流量转发路径
若出现连接失败,需排查安全组规则优先级和服务器内部服务状态。
正确配置阿里云端口转发需遵循安全组开放→防火墙放行→转发规则建立的流程,同时注意Linux系统版本差异带来的防火墙工具区别。建议生产环境配置完成后进行持续监控,并定期审查安全组规则。
