嘿，我来帮你捋捋这个问题——之前IIS能正常内外访问，换成Node.js服务器后内部没问题但外部连不上，大概率是这几个环节出了状况，咱们一步步来排查：

1. Windows本地防火墙没放行Node.js进程或80端口 #

虽然IIS作为Windows自带服务，默认可能已经被防火墙授权通过，但Node.js是第三方进程，第一次运行时如果没弹出防火墙授权提示（或者你当时没允许），就会被本地防火墙挡住外部请求。

• 解决步骤：
  • 打开Windows防火墙的高级设置
  • 进入「入站规则」，点击「新建规则」
  • 选择「端口」，点击下一步，输入80（TCP协议），继续下一步
  • 选择「允许连接」，下一步，根据需求勾选对应的网络类型（一般全选就行）
  • 给这条规则起个好记的名字（比如「Node.js HTTP 80端口」），完成设置
  • 也可以直接授权Node.js.exe进程通过防火墙：新建规则时选「程序」，找到你的Node.js安装路径下的node.exe，后续步骤同上

2. Node.js服务器绑定的地址仅限本地 #

虽然你的代码里写的是.listen(80)，理论上默认会绑定0.0.0.0（允许所有IP访问），但偶尔也会因为环境或配置问题，实际只监听了127.0.0.1（仅限本地访问）。

• 验证方法：在VM内部打开命令提示符，运行netstat -ano | findstr ":80"，查看输出里的监听地址是不是0.0.0.0:80
• 如果是127.0.0.1:80，修改代码为.listen(80, '0.0.0.0')即可

3. GCE防火墙规则的细节验证 #

之前IIS能访问说明GCE的80端口防火墙规则大概率是生效的，但还是可以确认一下细节，避免规则被误修改：

• 登录GCE控制台，进入「VPC网络」→「防火墙」
• 找到之前允许HTTP（80端口）的规则，检查：
  • 规则状态是「已启用」
  • 目标范围是「所有实例」或者你的VM实例所属的标签组
  • 来源IP范围是0.0.0.0/0（允许所有外部访问）或者你指定的合法范围
  • 协议和端口明确设置了tcp:80

4. VM实例的网络标签不匹配GCE防火墙规则 #

如果GCE的防火墙规则是通过「目标标签」来指定哪些实例可以使用该规则，那要确认你的VM实例有没有添加对应的标签：

• 进入GCE控制台的VM实例列表，点击你的实例，查看「标签」部分
• 对比防火墙规则里的「目标标签」，如果实例缺少该标签，添加即可

总结 #

优先排查Windows本地防火墙——这是最常见的原因，毕竟Node.js作为第三方进程，不会像IIS那样自动获得防火墙授权。如果本地防火墙没问题，再依次检查Node.js的绑定地址和GCE防火墙规则的细节。

内容的提问来源于stack exchange，提问作者Manuel Dias