怎样恢复服务器拒绝连接的网站

题图来自Unsplash，基于CC0协议

导读

服务器拒绝连接是网站运维人员和开发者在日常工作中经常会遇到的问题，它意味着客户端尝试连接服务器的特定端口时，服务器端拒绝了这个连接请求。这通常表现为客户端（浏览器）看到的“ERR_CONNECTION_REFUSED”错误，或者在尝试通过SSH、数据库客户端等方式连接服务器时失败。

这个问题的确让人头疼，但排查起来有条可循。首先，要清楚理解这种“拒绝连接”现象以及它可能的原因。当你在浏览器地址栏输入网址时，看到“ERR_CONNECTION_REFUSED”，通常表明你的电脑请求连接成功，但服务器端明确地拒绝了连接。很多时候，你需要先登录到你的服务器（例如，通过SSH连接），因为问题往往出在服务器一侧。服务器上的服务（如Web服务器Nginx/Apache、数据库服务等）可能没有运行，或者必要的网络端口可能被防火墙阻断了。有时，服务器资源（如CPU或内存）严重不足，可能导致它无法处理新的连接请求，从而“拒绝”新的连接。

确定了问题的范围后，你就可以开始针对性地解决：

• 检查服务器端口是否开放： 登录服务器后，首先确认服务器上是否正在监听外部访问的端口。可以通过 ss -tuln 或 netstat -tuln 命令查看哪些端口正在被哪些服务监听。另外，检查服务器上的防火墙（如 ufw 或 iptables）或云服务提供商的安全组/网络 ACL 规则，确保目标端口（通常是80、443用于Web服务，也可能是其他端口如SSH的22端口）是从你的客户端 IP 地址（如果防火墙会区分源IP）或至少是 0.0.0.0/::0（监听所有地址）开放的。同时，检查服务器的操作系统层面网络过滤规则。
• 服务器端为何拒绝连接： 常见原因包括：
  • 对应服务未运行： 检查Web服务器、数据库服务器等核心服务是否正在运行和监听正确的端口。
  • 端口被其他进程占用： 可能有另一个服务占用了你的Web服务器需要绑定的端口。
  • TCP端口未开放或防火墙阻止： 如上所述，服务器内部或网络设备的防火墙阻止了连接。
  • 服务器资源耗尽： 过高的并发请求、内存泄漏、文件句柄耗尽等情况可能使得服务器在面对新连接时直接拒绝。
  • 连接数限制： 操作系统或服务本身对最大连接数有限制。
  • DNS问题（间接触发）： 即使浏览器错误是 ERR_CONNECTION_REFUSED，对服务器本地检查域名 (dig) 是否正常，连接IP是否可通 (ping 或 traceroute) 也很重要，排除DNS解析问题导致无法发起连接的可能性。

对于用户端出现的 “ERR_CONNECTION_REFUSED” 错误，除了检查服务器状态，如果你的电脑防火墙或安全软件（如 Windows Defender、Mac防火墙、第三方杀毒软件）阻止了出站连接，同样需要检查并放行相应的端口。例如，如果你访问的是443端口的HTTPS网站，确保你的本地防火墙没有阻止出站443或TCP端口相关规则。临时禁用安全软件进行测试也是一个判断方法。

如果服务器运行的是 Linux 系统，排查过程可以更系统化：

1. 服务状态： 使用 systemctl status <service-name> （<service-name> 比如 nginx, apache2, mysql, php-fpm）或 service <service-name> status 命令检查关键服务状态。尝试 systemctl restart 或 systemctl reload 重启服务有时也能解决问题。
2. 检查配置文件： 配置文件语法错误或绑定地址错误（比如绑定 127.0.0.1 而非 0.0.0.0），都会导致服务无法接受外部连接。
3. 检查网络连接： 使用 ss -ant | grep <port>（<port> 是你的服务端口，如 80 或 443）确认服务是否正常监听在指定 IP 和端口上。
4. 检查防火墙和 SELinux/AppArmor： 使用 sudo ufw status 或 sudo firewall-cmd --list-all 检查本地服务器防火墙规则，确保目标端口已开放。对于 CentOS/RHEL，还要检查 SELinux 是否有必要的情况下设置允许，对于 Ubuntu 可能需要安装 apparmor-status 查看 AppArmor。云主机上别忘了检查安全组或网络 ACL 配置。
5. 检查资源使用情况： 使用 free -h, top, htop, 或 vmstat 检查服务器的内存和 CPU 使用情况，看看是否达到瓶颈。
6. 检查端口队列： 虽然不常见，但可以思考是否存在TCP SYN Flood攻击的指示或其他连接建立问题。
7. 检查服务日志： 通常服务的日志文件（位于 /var/log/ 下，如 /var/log/nginx/error.log, /var/log/mysql/mysql-error.log）会记录服务拒绝连接的原因。journalctl -u <service-name> 是一个很好的命令来直接查看该服务的日志。

总得来说，“拒绝连接”意味着连接请求被服务器阻挡或服务未准备好接受连接。这需要耐心和系统化的排查，从客户端表现，到服务器状态、网络配置、资源限制和日志分析，逐一排查，才能找到问题的根源并恢复网站的连接服务。记住，检查防火墙规则（包括服务器本身防火墙和云平台安全组）以及对应服务是否正常运行，通常是最常见的第一步和关键环节。