最近公司又上了一臺(tái)服務(wù)器，以前都是用 CentOS 6 系統(tǒng)，這次選擇使用了CentOS 7 系統(tǒng)的安裝鏡像，因?yàn)楝F(xiàn)在程序版本在CentOS 7 上一般 php 默認(rèn)就是 5.4 以上的，MySQL 也變成了 mariadb ，但使用都一樣而已， Apache 安裝的 httpd 程序也是 2.4 的版本，所以就算 yum 安裝基本服務(wù)也是比較新一些的版本吧。

公司撥款后就在阿里云后臺(tái)買了臺(tái)主機(jī)，直接 yum 裝的 LAMP ，添加虛擬主機(jī)的配置文件這里就不說(shuō)了，網(wǎng)上一堆的配置文檔，只記錄下，在CentOS7 上遇到的坑。

LAMP環(huán)境都搭好，配置文件也準(zhǔn)備好了，域名指向也都做好了。開(kāi)始做 iptbales 防火墻設(shè)置了，此時(shí)遇到坑了。本以為在CentOS7 上，只是使用 firewalld 控制 iptables 的啟動(dòng)與停止等相關(guān)操作，不成想根本不是那么回事，害的小弟我吭哧吭哧查半天問(wèn)題。

要想在阿里云主機(jī)上使用CentOS7 的防火墻，默認(rèn)的是 firewalld 程序，如果對(duì)此程序配置命令不熟悉，還是使用 iptables 的程序來(lái)控制防火墻吧。我是先把 firewalld 程序關(guān)閉了且禁止開(kāi)機(jī)啟動(dòng)：

# systemctl stop firewalld.service# systemctl disable firewalld.service

然后就是，安裝 iptables 防火墻，開(kāi)啟防火墻，進(jìn)行配置即可。

否則，我一開(kāi)始上來(lái)在CentOS7 上啟用:

systemctl start firewalld.service

然后，就用 iptables 添加了放行的各種規(guī)則， INPUT 默認(rèn)設(shè)為 DROP ， FORWARD 默認(rèn)設(shè)為 DROP ， OUTPUT 默認(rèn)為 ACCEPT 。

iptables -P INPUT DROP

當(dāng)設(shè)置后，網(wǎng)站就掛了，經(jīng)過(guò)多次折騰，判斷就是這條紅色命令的問(wèn)題，后來(lái)又是在網(wǎng)上一通查，最終問(wèn)題的 firewalld 的問(wèn)題，對(duì) firewalld 不熟悉，只好安裝CentOS6 中通用的 iptables 查詢，來(lái)設(shè)置防火墻。

下面就是網(wǎng)上找的在CentOS7上設(shè)置防火墻方法，親測(cè)放心使用。

安裝iptables防火墻yum install iptables-services #安裝vi /etc/sysconfig/iptables #編輯防火墻配置文件# Firewall configuration written by system-config-firewall# Manual customization of this file is not recommended.*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT-A INPUT -j REJECT --reject-with icmp-host-prohibited-A FORWARD -j REJECT --reject-with icmp-host-prohibitedCOMMIT:wq! #保存退出systemctl restart iptables.service #最后重啟防火墻使配置生效systemctl enable iptables.service #設(shè)置防火墻開(kāi)機(jī)啟動(dòng)

因?yàn)閺木W(wǎng)上找的文檔，也怕踩坑，所以，剛開(kāi)始我還是使用 iptables 命令，一條條設(shè)置的規(guī)則，借此機(jī)會(huì)，也說(shuō)明下，阿里云設(shè)置防火墻遇到的坑。

為了方便說(shuō)明，查看序號(hào)的規(guī)則：

首先說(shuō)明，默認(rèn)規(guī)則：

INPUT鏈為DROP

FORWARD鏈為DROP

OUTPUT鏈為ACCEPT；

15條規(guī)則解釋如下：

1：80、8080端口是對(duì)外開(kāi)放的web服務(wù)端口，22122為ssh端口；

2：開(kāi)放本地127.0.0.1回環(huán)接口，放行本地主機(jī)內(nèi)部通信；

3：放行icmp即允許ping通本機(jī)；

4：放行RELATED：相關(guān)聯(lián)的連接；放行ESTABLISHED：連接追蹤模板當(dāng)中存在的記錄的連接；

注意：此條不添加，阿里云主機(jī)的安騎士功能agent會(huì)顯示離線；關(guān)于阿里云主機(jī)web頁(yè)面的相關(guān)設(shè)置，以后有空再做敘述。

5、6：放行阿里云dns服務(wù)器的地址；

7、8：放行公司的ip訪問(wèn)服務(wù)器所有端口；

9-15：為阿里云提供的放行安騎士的ip和端口，鏈接為：https://help.aliyun.com/document_detail/31776.html?spm=5176.product28449.6.116.Llvb9n

按照上述方法，設(shè)置防火墻后，保存規(guī)則即可。