要让EC2实例正常发送出站UDP流量，得从三个关键层面配置，缺一不可：

• EC2安全组：
  默认情况下EC2安全组允许所有出站流量，但如果你之前修改过规则，就得手动添加UDP出站条目。找到实例关联的安全组，进入「出站规则」页面，添加一条规则：协议选UDP，目标按需求设置（比如0.0.0.0/0允许发往任意地址，或者指定特定IP/端口范围），端口范围填你需要发送的UDP端口（全端口就填0-65535）。
• VPC网络ACL：
  网络ACL是无状态的，所以既要配出站允许，也要确保对应的入站回包允许（如果需要接收UDP响应的话）。出站规则要允许UDP流量到目标地址/端口，入站规则要允许对方回传的UDP流量，注意规则优先级要高于拒绝条目。
• 实例本地防火墙：
  比如Ubuntu的ufw或者iptables，确保没有阻塞UDP出站。可以用iptables -L OUTPUT -n查看OUTPUT链规则，确认UDP是被允许的。如果是ufw，可以用ufw status确认状态，必要时添加允许规则。

结合你的场景（服务器收数据后回传，已配出站UDP规则但客户端没收到）和环境（Ubuntu 16.04、ufw禁用、iptables INPUT/FORWARD为ACCEPT），按以下步骤排查EC2侧的阻塞问题：

先确认服务器真的发了回包 #

在EC2实例上用tcpdump抓包，验证服务器是否确实发出了UDP包到客户端的IP和端口：

tcpdump -i any udp dst host <你的客户端IP> and dst port <客户端监听的端口>

如果抓不到包，那问题大概率在你的服务器程序逻辑上，得先排查代码；如果能抓到包，再往下查网络层面。

检查安全组的出站规则是否匹配回包的实际参数 #

你说已经加了出站UDP规则，但要确认规则是否覆盖了服务器回传时的源端口和目标地址/端口。比如有些UDP服务器会用接收客户端请求的端口作为回传的源端口，你需要确认这个源端口是否在你配置的出站规则的端口范围内。如果规则里指定了固定的源端口，但服务器实际用了其他端口，就会被阻断。

核查VPC网络ACL规则 #

网络ACL是无状态的，哪怕你配了出站规则，也要确保：

• 出站ACL规则允许UDP流量从EC2实例的IP/源端口到客户端的IP/目标端口，且这条规则的优先级要高于任何拒绝规则。
• 入站ACL规则允许客户端发送请求的UDP流量（不过你说服务器能接收数据，这条应该已经配置了，但还是确认下，避免ACL有隐含的拒绝条目）。

检查iptables的OUTPUT链规则 #

虽然你提到INPUT和FORWARD链是ACCEPT政策，但OUTPUT链可能有你没注意到的阻断规则。用命令查看OUTPUT链的详细规则：

iptables -L OUTPUT -n -v

如果看到有REJECT或DROPUDP流量的条目，要么删除，要么添加一条允许到客户端IP/端口的规则：

iptables -A OUTPUT -p udp -d <客户端IP> --dport <客户端端口> -j ACCEPT

验证路由表是否正常 #

确认EC2实例所在子网的路由表有正确的路由指向客户端网络：如果客户端在公网，路由表必须有指向互联网网关（IGW）的默认路由；如果客户端在VPC内网，需要有对应的VPC对等连接路由或内网路由条目。

用traceroute测试UDP连通性 #

从EC2实例出发，用UDP traceroute测试到客户端的路径，看是否在某个节点被阻断：

traceroute -U -p <客户端监听端口> <客户端IP>

如果中途出现* * *且一直到终点都没响应，说明该节点阻断了UDP流量。

内容的提问来源于stack exchange，提问作者jjmcc