CentOS7上的防火墙设置简明教程|以阿里云为例

沙漠浪漫子

作者Crystaleone
马哥教诲金牌助教，国内一线高级运维工程师，4年运维履历，认识linux体系管理和python运维开辟等；有独特的自学秘笈，善于总结知识化为实战。

近来公司又上了一台服务器，从前都是用 CentOS 6 体系，这次选择利用了 CentOS  7 体系的安装镜像，由于如今步伐版本在 CentOS 7 上一样平常 php 默认就是 5.4 以上的，MySQL 也酿成了 mariadb ，但利用都一样而已， Apache 安装的 httpd 步伐也是 2.4 的版本，以是就算 yum 安装根本服务也是比力新一些的版本吧。

公司拨款后就在阿里云背景买了台主机，直接 yum 装的 LAMP ，添加假造主机的设置文件这里就不说了，网上一堆的设置文档，只记载下，在 CentOS 7 上碰到的坑。 
LAMP 情况都搭好，设置文件也预备好了，域名指向也都做好了。开始做 iptbales 防火墙设置了，此时碰到坑了。本以为在 CentOS 7 上，只是利用 firewalld 控制 iptables 的启动与制止等相干操纵，不成想根本不是那么回事，害的小弟我吭哧吭哧查半天题目。
要想在阿里云主机上利用 CentOS 7 的防火墙，默认的是 firewalld 步伐，假如对此步伐设置下令不认识，照旧利用 iptables 的步伐来控制防火墙吧。我是先把 firewalld 步伐关闭了且克制开机启动：
[size=0em]# systemctl stop firewalld.service
# systemctl disable firewalld.service
然后就是，安装 iptables 防火墙，开启防火墙，举行设置即可。
否则，我一开始上来在 CentOS 7 上启用:
[size=0em]systemctl start firewalld.service
然后，就用 iptables 添加了放行的各种规则， INPUT 默认设为 DROP ， FORWARD 默认设为 DROP ， OUTPUT 默以为 ACCEPT 。
[size=0em]iptables -P INPUT DROP
当设置后，网站就挂了，颠末多次折腾，判定就是这条赤色下令的题目，厥后又是在网上一通查，终极题目的 firewalld 的题目，对 firewalld 不认识，只好安装 CentOS 6 中通用的 iptables 查询，来设置防火墙。
下面就是网上找的在CentOS 7上设置防火墙方法，亲测放心利用。
[size=0em]安装iptables防火墙
yum install iptables-services #安装
vi /etc/sysconfig/iptables #编辑防火墙设置文件
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
:wq! #生存退出
systemctl restart iptables.service #末了重启防火墙使设置见效
systemctl enable iptables.service #设置防火墙开机启动
由于从网上找的文档，也怕踩坑，以是，刚开始我照旧利用 iptables 下令，一条条设置的规则，借此时机，也阐明下，阿里云设置防火墙碰到的坑。

为了方便阐明，检察序号的规则：

起首阐明，默认规则：
INPUT链为DROP
FORWARD链为DROP
OUTPUT链为ACCEPT；
15条规则表明如下：
1：80、8080端口是对外开放的web服务端口，22122为ssh端口；
2：开放当地127.0.0.1回环接口，放行当地主机内部通讯；
3：放行icmp即答应ping通本机；
4：放行RELATED：相干联的毗连；放行ESTABLISHED：毗连追踪模板当中存在的记载的毗连；

留意：此条不添加，阿里云主机的安骑士功能agent会表现离线；关于阿里云主机web页面的相干设置，以后有空再做叙述。

5、6：放行阿里云dns服务器的地点；
7、8：放行公司的ip访问服务器全部端口；
9-15：为阿里云提供的放行安骑士的ip和端口，链接为：http://help.aliyun.com/document_detail/31776.html?spm=5176.product28449.6.116.Llvb9n
按照上述方法，设置防火墙后，生存规则即可。

本文作者Crystaleone，马哥教诲经授权后发布，文章版权归原创作者全部。
践行开源精力，参加原创作者请接洽：[email protected]。

《Linux云盘算及运维架构师高薪实战班》2018年05月14日即将开课中，120天打击Linux运维年薪30万，改变速约~~~~

*声明：推送内容及图片泉源于网络，部门内容会有所改动，版权归原作者全部，如泉源信息有误或侵占权益，请接洽我们删除或授权事件。

- END -

更多Linux好文请点击【阅读原文】哦
↓↓↓