先给你排查最常见的核心问题，再一步步验证其他可能的原因：

1. 修正Node.js应用的监听地址（最可能的原因） #

默认情况下，app.listen(PORT) 会把服务绑定到 127.0.0.1（只能本地访问），这大概率是3000端口能访问、其他端口不行的关键原因（可能3000端口的应用无意中绑定了全接口，或者有反向代理加持）。

你需要明确指定绑定到 0.0.0.0，让服务监听服务器的所有网络接口：

// 3000端口应用修改示例
app.listen(3000, '0.0.0.0', () => {
  console.log("Server is running on port: 3000");
});

// 3001/3002端口应用同理
const PORT = process.env.PORT || 3001;
app.listen(PORT, '0.0.0.0', () => {
  console.log(`Server is running on port: ${PORT}`);
});

重启每个应用后先试试远程访问，这一步基本能解决大部分问题。

2. 确认CSF防火墙配置真的生效 #

虽然你已经在TCP_IN里加了端口，但得验证配置是否正确加载：

• 执行 csf -r 重启防火墙，确保新配置生效
• 执行 csf -l 查看当前开放的TCP入站端口，确认3001、3002确实在列表里
• 检查CSF的DENY_IN规则，有没有意外拦截这两个端口的流量

3. 检查云服务商的外部防火墙（重点！） #

如果你的服务器是阿里云、AWS、腾讯云这类云服务提供的，服务器内部的防火墙只是第一层，还需要在云服务商的控制台里配置安全组规则，允许3001、3002端口的TCP入站流量。这个坑很多人都会踩，务必去检查一下。

4. 验证应用的监听状态 #

用下面的命令确认Node.js应用是不是真的在监听0.0.0.0：

ss -tulpn | grep node

如果输出里看到 0.0.0.0:3001 就没问题；如果是 127.0.0.1:3001，说明还是绑定了本地地址，回到步骤1修改代码就行。

5. 测试端口连通性 #

可以在本地用telnet或者nc命令测试端口是否能打通：

# 替换成你的服务器公网IP
telnet your-server-public-ip 3001
# 或者用nc（更直观）
nc -zv your-server-public-ip 3001

如果连接失败，说明流量确实被拦截了，回到前面的步骤重新排查防火墙或监听地址。

内容的提问来源于stack exchange，提问作者Shekhar