Cent OS 7 上的防火墻設置教程來了

最近公司又上了一臺服務器，以前都是用 CentOS 6 系統，這次選擇使用了CentOS 7 系統的安裝鏡像，因為現在程序版本在CentOS 7 上一般 php 默認就是 5.4 以上的，MySQL 也變成了 mariadb ，但使用都一樣而已， Apache 安裝的 httpd 程序也是 2.4 的版本，所以就算 yum 安裝基本服務也是比較新一些的版本吧。

公司撥款后就在阿里云后臺買了臺主機，直接 yum 裝的 LAMP ，添加虛擬主機的配置文件這里就不說了，網上一堆的配置文檔，只記錄下，在CentOS7 上遇到的坑。

LAMP環境都搭好，配置文件也準備好了，域名指向也都做好了。開始做 iptbales 防火墻設置了，此時遇到坑了。本以為在CentOS7 上，只是使用 firewalld 控制 iptables 的啟動與停止等相關操作，不成想根本不是那么回事，害的小弟我吭哧吭哧查半天問題。

要想在阿里云主機上使用CentOS7 的防火墻，默認的是 firewalld 程序，如果對此程序配置命令不熟悉，還是使用 iptables 的程序來控制防火墻吧。我是先把 firewalld 程序關閉了且禁止開機啟動：

# systemctl stop firewalld.service# systemctl disable firewalld.service

然后就是，安裝 iptables 防火墻，開啟防火墻，進行配置即可。

否則，我一開始上來在CentOS7 上啟用:

systemctl start firewalld.service

然后，就用 iptables 添加了放行的各種規則， INPUT 默認設為 DROP ， FORWARD 默認設為 DROP ， OUTPUT 默認為 ACCEPT 。

iptables -P INPUT DROP

當設置后，網站就掛了，經過多次折騰，判斷就是這條紅色命令的問題，后來又是在網上一通查，最終問題的 firewalld 的問題，對 firewalld 不熟悉，只好安裝CentOS6 中通用的 iptables 查詢，來設置防火墻。

下面就是網上找的在CentOS7上設置防火墻方法，親測放心使用。

安裝iptables防火墻yum install iptables-services #安裝vi /etc/sysconfig/iptables #編輯防火墻配置文件# Firewall configuration written by system-config-firewall# Manual customization of this file is not recommended.*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT-A INPUT -j REJECT --reject-with icmp-host-prohibited-A FORWARD -j REJECT --reject-with icmp-host-prohibitedCOMMIT:wq! #保存退出systemctl restart iptables.service #最后重啟防火墻使配置生效systemctl enable iptables.service #設置防火墻開機啟動

因為從網上找的文檔，也怕踩坑，所以，剛開始我還是使用 iptables 命令，一條條設置的規則，借此機會，也說明下，阿里云設置防火墻遇到的坑。

為了方便說明，查看序號的規則：

首先說明，默認規則：

INPUT鏈為DROP

FORWARD鏈為DROP

OUTPUT鏈為ACCEPT；

15條規則解釋如下：

1：80、8080端口是對外開放的web服務端口，22122為ssh端口；

2：開放本地127.0.0.1回環接口，放行本地主機內部通信；

3：放行icmp即允許ping通本機；

4：放行RELATED：相關聯的連接；放行ESTABLISHED：連接追蹤模板當中存在的記錄的連接；

注意：此條不添加，阿里云主機的安騎士功能agent會顯示離線；關于阿里云主機web頁面的相關設置，以后有空再做敘述。

5、6：放行阿里云dns服務器的地址；

7、8：放行公司的ip訪問服務器所有端口；

9-15：為阿里云提供的放行安騎士的ip和端口，鏈接為：https://help.aliyun.com/document_detail/31776.html?spm=5176.product28449.6.116.Llvb9n

按照上述方法，設置防火墻后，保存規則即可。