首先先明确下你的环境情况，方便我们精准排查：

• ESXi 6.5平台上的Ubuntu 17虚拟机跑着NextCloud，内网IP是 192.168.1.30
• 路由器配置了DDNS主机名 abc.ddns.com，还设了三条端口转发：80->80、8888->443、443->443
• 已经买了xyz.com域名，CNAME记录把nextcloud.xyz.com指向了DDNS主机名，解析也正常，但就是外网访问超时，内网能打开

接下来按优先级逐个排查，先解决最常见的问题：

1. 先确认公网端口是否真的对外开放 #

内网能访问说明NextCloud服务和内网转发都没问题，外网超时大概率是端口没真正暴露到公网。你可以这么做：

• 拿一台非内网设备（比如手机关掉WiFi开流量）直接访问 http://[你的公网IP]:80 和 https://[你的公网IP]:443，如果还是超时，那问题出在路由器转发或者运营商封端口上。
• 用在线端口检测工具（直接搜“端口检测”找本地运行的就行，不用跳外部站），输入你的公网IP和80、443端口，看是否显示“开放”。如果是“关闭”，先查路由器：
  • 核对端口转发规则的目标IP是不是虚拟机的内网IP 192.168.1.30，别手滑写成路由器自己的IP或者其他设备了。
  • 看看路由器有没有开DMZ，如果开了，可能和手动端口转发冲突，先关掉DMZ试试。
  • 有些路由器的UPnP功能会干扰手动端口转发，暂时关掉UPnP再测试。

2. 排查运营商是否封锁了80/443端口 #

很多家用宽带运营商会默认封80（HTTP）和443（HTTPS）端口，防止个人搭建公共网站。你可以试试用你配置的8888->443规则，在外网访问 https://nextcloud.xyz.com:8888，如果能打开，那就是80/443被封了。
这种情况的解决办法：

• 换用非标准端口：比如把NextCloud的HTTPS端口改成8443，然后路由器配置8443->8443的转发，外网就用https://nextcloud.xyz.com:8443访问。
• 联系运营商申请解封：部分运营商支持个人备案后解封80/443端口，你可以打客服问问。

3. 把域名加入NextCloud的信任列表 #

就算端口通了，NextCloud默认只允许内网IP访问，必须把nextcloud.xyz.com加到信任域名里：

• 登录Ubuntu虚拟机，找到NextCloud的配置文件/var/www/html/nextcloud/config/config.php（如果你的安装路径不一样，就找对应路径下的config/config.php）
• 找到trusted_domains数组，添加域名相关的条目：

  'trusted_domains' => [
      0 => '192.168.1.30',
      1 => 'nextcloud.xyz.com',
      2 => 'abc.ddns.com', // 把DDNS主机名也加上更稳妥
  ],
  

• 保存文件后，重启Web服务器：如果用的是Apache就跑 systemctl restart apache2，用Nginx就跑 systemctl restart nginx。

4. 检查Ubuntu虚拟机的防火墙 #

Ubuntu默认可能开了ufw防火墙，得确保80、443端口允许外部访问：

• 先跑 ufw status 看看当前规则，如果发现80/443只允许内网段访问，就添加规则：

  ufw allow 80/tcp
  ufw allow 443/tcp
  ufw reload
  

• 如果是用iptables配置的防火墙，也要检查有没有拒绝外部流量到80/443的规则。

5. 检查路由器的防火墙规则 #

有些路由器有额外的安全拦截，比如“外部访问限制”，得确认允许外部IP访问80/443端口到你的虚拟机IP：

• 登录路由器管理界面，找“防火墙”或者“安全设置”板块，看看有没有拦截外部访问的规则，暂时关掉这些规则测试一下（测试完再重新配置合适的规则）。

建议先从第一步开始排查，因为端口开放问题是外网访问超时最常见的原因。如果直接访问公网IP加端口都超时，那先解决转发和运营商的问题，再去调NextCloud的配置。

内容的提问来源于stack exchange，提问作者Shazad