2020年5月14日，笔者发了个微头条：朋友新介绍的一个客户，中国电信固定IP的城域网，打不开http的网站，但是https的网站，都能够正常打开，其他网络功能也没有异常。

奇怪的是，上一次发生故障，是在4月底，当时实在没办法解决，中国电信只能更换了IP地址，可是10多天以后，故障又重现了，总不能每个月变更两次IP地址吧？

这个微头条发了以后，评论区很是热闹，有些网友是对这个奇怪的问题很感兴趣，嘱咐笔者有下文以后，一定要写篇文章来说明一下； 还有些网友就在出谋划策，其中大部分人，都在说是端口被封了，因为网站没有备案或者有违规行为，其实这个观点是错误的，他们所谓的封端口，是指入端口被封了，而现在的问题，是在出端口。

 

什么是端口？

先来解释一下，什么是端口。在网络技术中，端口有两种含义：一是物理意义上的端口，比如说网线接口，也被称为RJ-45端口；二是逻辑意义上的端口，一般是指TCP/IP协议中的端口，端口号的范围从0到65535，比如用于FTP服务的TCP21端口、用于WEB服务的TCP80端口、用于TFTP（小型文件传输协议）的UDP69端口等等。TCP和UDP的区别，以后有机会再谈，反正记住一点，TCP是可靠端口，相反UDP提供不可靠服务，很多情况下，都是两者并用的。

 

端口的作用

我们平时所说的端口，一般来说，都默指服务端口，即入端口，比如说，你搭建了一台FTP服务器，那么，FTP服务默认的TCP21端口，就被打开了，或者说被启用了。在FTP客户端，通过输入IP地址和端口号21，就能连接上FTP服务器，输入正确的用户名和密码之后，就登录到FTP服务器了； 同理，网站就是http服务和https服务，这两个服务，默认的端口为TCP80和TCP443。总之，没有端口，就不能正常地提供网络服务。在实际的应用过程中，处于安全性的考虑，我们经常需要改变默认端口，如下图所示：

 

端口的方向

说端口的方向，其实不太合适，因为端口本身并没有方向性，只是身份的变化，导致了方向的不同。例如前面提的， 我们自己架设的服务器，用来给客户端访问，那么，我们服务器上开放的端口，就是入端口，我们需要在防火墙上打开相应的端口，客户端才能访问。而我们的电脑如果作为客户端，要访问别人的网站，那么就是出端口了。

如果我们架设的服务器，在内网访问正常，而在外网无法被访问到，排除自己的问题以后，那么就有可能是被运营商封端口了，没有备案的网站或者有违规的网站，80端口是必封的，没有发布网站的前提下，运营商的线路，也是默认为禁用80端口的。

 

分析故障

回到文章开头所说的故障，在客户内网的任何一台电脑，都不能打开http类型的网站，笔者一开始认为是路由器配置问题，仔细检查以后，没有发现相关的禁止策略，然后直接把笔记本连接到光猫进行测试，发现故障依旧，这时候，已经没有必要进一步排查了，直接提交电信运营商更有效率。

现在大家知道，为什么网友说80端口被封了要去备案，是错误的吧？因为如果是80端口被封了，那么这个客户的网站，就无法被访问了，而发生故障的时候，客户的网站能够正常地被访问到。其实这个时候，根本不用去检测客户的网站是否能被访问，笔者只是一时好奇，想看一下他们有没有网站，80端口是否正常而已。

一般来说，运营商封80入端口的目的，是禁止未备案的网站、禁止不合规的网站；而无法访问http类型的网站，是因为出端口80被禁止了，这真的很少听到，以致于有些网友也说，是电信把ACL做反了。

如下图所示，当我们打开浏览器，输入网址的时候，本地端口（图中Local Port）其实是随机端口，绝对不会是80端口，而远程端口（即网站服务器端口）才是80端口，下图中，TcpView这款软件，直接把80端口标记为http了，没有以数字形式体现。

 

运营商不太可能会主动封用户出80端口，据笔者分析，极有可能是内部服务器中毒，被当成跳板，不断攻击互联网上的其他http服务器，即大量地扫描、攻击互联网上其他服务器的80端口，导致运营商的防火墙发现后，自动禁止该IP出80端口，否则不太可能连续被封几次。

找到了问题所在，处理也就简单了，请求电信运营商将IP手动放到白名单，把客户那台普通的某link路由器换下来，华为防火墙上去，并且配置好IPS和AV，内网服务器及台式机排查病毒及恶意程序。这些事做完，才能踏实地“以观后效”，否则再次发生，要如何面对电信的质问？如何再从黑名单中移除呢？