看起来你遇到的核心问题是Mosquitto的全局SSL配置被所有端口listener继承，导致原本要无加密的1883端口被迫启用SSL，同时干扰了8883端口的正常TLS连接。我帮你拆解下问题根源和修复方法：

为什么同时开两个端口会失效？ #

你的mosquitto.conf里，certfile、require_certificate这些SSL相关配置是全局设置的——Mosquitto会把这些参数默认应用到所有定义的listener上。这就导致：

• 1883端口本来要做无加密内部连接，却被强制要求SSL握手，而你的Python应用用普通MQTT协议连接，自然触发tlsv1 alert protocol version的协议错误
• 8883端口的TLS连接也因为全局配置和listener配置的叠加，出现了客户端握手时的畸形包问题

修正后的Mosquitto配置 #

你需要把SSL相关配置仅绑定到8883端口的listener，给1883端口单独配置无加密规则。修改后的mosquitto.conf如下：

# 内部无加密端口：仅允许同环境容器访问
listener 1883 0.0.0.0
max_connections -1
protocol mqtt
allow_anonymous true

# 外部TLS加密端口：接收外部连接
listener 8883 0.0.0.0
max_connections -1
protocol mqtt
certfile /mosquitto/config/certificates/server.crt
keyfile /mosquitto/config/certificates/server.key
crlfile /mosquitto/config/certificates/ca.crl
require_certificate true
cafile /mosquitto/config/certificates/ca.crt
allow_anonymous true

额外的安全优化建议 #

为了彻底确保1883端口只能被同环境的Python应用访问，你可以在docker-compose.yml里给MQTT服务的1883端口不做宿主机映射——只让它在mqtt-network这个内部网络中暴露，外部完全无法访问，从网络层面强化隔离。

重启容器时记得清理缓存，确保新配置生效：

docker-compose down -v && docker-compose up -d

验证步骤 #

1. 替换配置后重启MQTT容器
2. 测试外部TLS连接8883：应该能正常建立，日志不会再出现malformed packet错误
3. 测试Python应用连接1883：连接成功，日志无SSL相关报错

内容的提问来源于stack exchange，提问作者fbzyx