一次 ASP.NET Core 内网访问被拒绝的排查之旅

从"明明端口开了却连不上"到"一行代码解决问题"的完整记录

一、问题背景

今天在开发一个 ASP.NET Core Web API 项目时，遇到了一个让人抓狂的问题：

✅ 本机用 Postman 调用 http://localhost:5000/WeatherForecast → 正常返回数据
✅ 外网通过 natapp 内网穿透访问 → 也能正常调用
❌ 内网其他电脑 通过 IP 地址访问 http://192.168.1.100:5000/WeatherForecast → 连接被拒绝

同一个应用，三种访问方式，竟然有两种成功一种失败？这不合常理！

项目代码大概是这样的（典型的 ASP.NET Core 6+ 模板）：

csharp 复制代码

var builder = WebApplication.CreateBuilder(args);

// 配置 NLog 日志
builder.Host.UseNLog();

builder.Services.AddControllers();
builder.Services.AddEndpointsApiExplorer();
builder.Services.AddSwaggerGen();

// 其他业务配置...

var app = builder.Build();

if (app.Environment.IsDevelopment())
{
    app.UseSwagger();
    app.UseSwaggerUI();
}

// 注意：HTTPS 重定向已被注释掉
// app.UseHttpsRedirection();

app.UseAuthorization();
app.MapControllers();

app.Run();

访问情况汇总：

访问方式	地址	结果
本机访问	`http://localhost:5000`	✅ 成功
本机访问	`http://127.0.0.1:5000`	✅ 成功
外网穿透	`http://xxx.natappfree.cc`	✅ 成功
内网访问	`http://192.168.1.100:5000`	❌ 拒绝

二、排查思路与步骤

遇到这种"部分能通部分不能通"的网络问题，千万别慌，按步骤来。

第一步：确认服务是否真的在运行

首先确认应用确实在运行：

bash 复制代码

# 查看端口占用情况
netstat -ano | findstr 5000

输出结果：

复制代码

TCP    127.0.0.1:5000         0.0.0.0:0              LISTENING       12345
TCP    [::1]:5000             [::]:0                 LISTENING       12345

⚠️ 注意关键信息 ：这里显示 127.0.0.1:5000 和 [::1]:5000，没有 0.0.0.0:5000！

这就是问题的第一个线索：应用只监听了本地回环地址，没有监听所有网络接口。

第二步：检查网络连通性

在另一台内网电脑上，先测试基本的网络连通性：

powershell 复制代码

# ping 目标机器
ping 192.168.1.100

结果：✅ 能 ping 通，说明物理网络是通的，两台电脑在同一网段。

第三步：检查端口是否真的开放

既然网络通，那是不是端口没开放？用 PowerShell 的 Test-NetConnection 检查：

powershell 复制代码

# 测试端口 5000 是否可达
Test-NetConnection 192.168.1.100 -Port 5000

结果：

复制代码

WARNING: TCP connect to 192.168.1.100:5000 failed
ComputerName     : 192.168.1.100
RemoteAddress    : 192.168.1.100
RemotePort       : 5000
InterfaceAlias   : 以太网
SourceAddress    : 192.168.1.101
PingSucceeded    : True
PingReplyDetails : RTT=1ms
TcpTestSucceeded : False   ← 关键：TCP 连接失败

PingSucceeded = True 但 TcpTestSucceeded = False，说明：

网络是通的（能 ping 通）
但端口 5000 无法建立 TCP 连接

第四步：检查防火墙

是不是 Windows 防火墙拦截了？

powershell 复制代码

# 查看防火墙规则
netsh advfirewall firewall show rule name="Port 5000"

结果：没有找到相关规则，说明防火墙根本没有放行这个端口的入站连接。

立刻添加防火墙规则：

powershell 复制代码

# 添加入站规则，允许 5000 端口
netsh advfirewall firewall add rule name="Allow Port 5000" dir=in action=allow protocol=TCP localport=5000

添加完成后，再次用 Test-NetConnection 测试：

powershell 复制代码

Test-NetConnection 192.168.1.100 -Port 5000

结果仍然是 TcpTestSucceeded = False 😰

第五步：终极排查 - 对比监听地址

这时候，我注意到一个细节：netstat -ano 显示的监听地址是 127.0.0.1:5000，而不是 0.0.0.0:5000。

这两者有什么区别？

监听地址	含义	谁能访问
`127.0.0.1:5000`	只监听本地回环接口	只有本机可以访问
`0.0.0.0:5000`	监听所有网络接口	任何能访问本机 IP 的设备都可以

问题找到了！应用只监听了 localhost，所以内网其他电脑根本无法建立连接。

💡 为什么 natapp 穿透能成功？因为 natapp 客户端运行在本机，它连接的是 localhost:5000，相当于本机自己访问自己，所以绕过了这个限制。

三、解决方案

在 Program.cs 中添加一行代码，指定监听所有网络接口：

csharp 复制代码

var builder = WebApplication.CreateBuilder(args);

// 🔥 关键：监听所有网络接口，允许内网访问
builder.WebHost.UseUrls("http://0.0.0.0:5000");

// 其他配置保持不变...
builder.Host.UseNLog();
builder.Services.AddControllers();
// ...

var app = builder.Build();
// ... 其余代码不变
app.Run();

重新启动应用后，再次查看端口监听：

bash 复制代码

netstat -ano | findstr 5000

现在显示：

复制代码

TCP    0.0.0.0:5000           0.0.0.0:0              LISTENING       12345
TCP    [::]:5000              [::]:0                 LISTENING       12345

✅ 0.0.0.0:5000 出现了！

再次在内网另一台电脑测试：

powershell 复制代码

Test-NetConnection 192.168.1.100 -Port 5000

结果：

复制代码

TcpTestSucceeded : True   ✅ 成功了！

用浏览器访问 http://192.168.1.100:5000/WeatherForecast，数据正常返回！🎉

四、深入理解

为什么默认是 localhost？

ASP.NET Core 出于安全考虑 ，默认绑定到 localhost 而不是 0.0.0.0。这样可以防止：

开发环境被外部网络意外访问
减少被扫描和攻击的风险

三种解决方案对比

方案	方式	适用场景
代码指定	`builder.WebHost.UseUrls("http://0.0.0.0:5000")`	开发调试，快速验证
配置文件	`appsettings.json` 中设置 `"Urls": "http://0.0.0.0:5000"`	生产环境更灵活
命令行	`dotnet run --urls="http://0.0.0.0:5000"`	CI/CD 部署

生产环境建议

生产环境不要直接使用 0.0.0.0，而是：

使用反向代理（Nginx、IIS、Kestrel + Nginx）
配置特定的内网 IP ：http://192.168.1.100:5000
配合防火墙规则，只允许特定 IP 段访问

五、排查流程总结

复制代码

1️⃣ netstat -ano | findstr 端口号
   ↓ 检查监听地址是否为 0.0.0.0
   
2️⃣ ping 目标IP
   ↓ 检查网络连通性
   
3️⃣ Test-NetConnection 目标IP -Port 端口号
   ↓ 检查端口是否可达
   
4️⃣ netsh advfirewall firewall 查看/添加规则
   ↓ 检查防火墙配置
   
5️⃣ 确认监听地址 (关键！)
   ↓ 发现问题所在
   
6️⃣ builder.WebHost.UseUrls("http://0.0.0.0:端口号")
   ↓ 解决问题！

六、快速诊断命令合集

powershell 复制代码

# 1. 查看端口监听状态
netstat -ano | findstr 5000

# 2. 查看进程信息（用 PID）
tasklist | findstr 12345

# 3. 测试端口连通性
Test-NetConnection 192.168.1.100 -Port 5000

# 4. 查看防火墙规则
netsh advfirewall firewall show rule name="Port 5000"

# 5. 添加防火墙规则
netsh advfirewall firewall add rule name="Allow Port 5000" dir=in action=allow protocol=TCP localport=5000

# 6. 删除防火墙规则
netsh advfirewall firewall delete rule name="Allow Port 5000"

# 7. 临时关闭防火墙（仅测试用）
netsh advfirewall set allprofiles state off

# 8. 重新开启防火墙
netsh advfirewall set allprofiles state on

七、写在最后

这个问题看似简单，但排查过程涉及了：

🔍 网络诊断工具的使用
🖥️ 操作系统网络配置的理解
🔐 Windows 防火墙的配置
🚀 ASP.NET Core 底层 HTTP 服务器的绑定机制

关键经验总结：

不要假设：即使本机能访问，不代表内网能访问
分步验证：网络层 → 端口层 → 应用层，逐层排查
看懂监听地址 ：127.0.0.1 和 0.0.0.0 的区别必须清楚
工具很重要 ：netstat、Test-NetConnection、ping 是排查网络问题的三剑客

记住：一行代码 builder.WebHost.UseUrls("http://0.0.0.0:5000") 解决的不是一个 bug，而是一个对 ASP.NET Core 网络绑定的认知盲区。

互动环节：你在开发中还遇到过哪些"本机能访问，别人不能访问"的坑？欢迎在评论区分享交流！

如果你觉得这篇文章有帮助，请点赞 👍 收藏 ⭐ 转发 🔄，让更多人看到！

技术交流，共同进步！ ✨