最近公司又上了一臺服務(wù)器，以前都是用 CentOS 6 系統(tǒng)，這次選擇使用了CentOS 7 系統(tǒng)的安裝鏡像，因為現(xiàn)在程序版本在CentOS 7 上一般 php 默認(rèn)就是 5.4 以上的，MySQL 也變成了 mariadb ，但使用都一樣而已， Apache 安裝的 httpd 程序也是 2.4 的版本，所以就算 yum 安裝基本服務(wù)也是比較新一些的版本吧。

公司撥款后就在阿里云后臺買了臺主機，直接 yum 裝的 LAMP ，添加虛擬主機的配置文件這里就不說了，網(wǎng)上一堆的配置文檔，只記錄下，在CentOS7 上遇到的坑。

LAMP環(huán)境都搭好，配置文件也準(zhǔn)備好了，域名指向也都做好了。開始做 iptbales 防火墻設(shè)置了，此時遇到坑了。本以為在CentOS7 上，只是使用 firewalld 控制 iptables 的啟動與停止等相關(guān)操作，不成想根本不是那么回事，害的小弟我吭哧吭哧查半天問題。

要想在阿里云主機上使用CentOS7 的防火墻，默認(rèn)的是 firewalld 程序，如果對此程序配置命令不熟悉，還是使用 iptables 的程序來控制防火墻吧。我是先把 firewalld 程序關(guān)閉了且禁止開機啟動：

# systemctl stop firewalld.service# systemctl disable firewalld.service

然后就是，安裝 iptables 防火墻，開啟防火墻，進行配置即可。

否則，我一開始上來在CentOS7 上啟用:

systemctl start firewalld.service

然后，就用 iptables 添加了放行的各種規(guī)則， INPUT 默認(rèn)設(shè)為 DROP ， FORWARD 默認(rèn)設(shè)為 DROP ， OUTPUT 默認(rèn)為 ACCEPT 。

iptables -P INPUT DROP

當(dāng)設(shè)置后，網(wǎng)站就掛了，經(jīng)過多次折騰，判斷就是這條紅色命令的問題，后來又是在網(wǎng)上一通查，最終問題的 firewalld 的問題，對 firewalld 不熟悉，只好安裝CentOS6 中通用的 iptables 查詢，來設(shè)置防火墻。

下面就是網(wǎng)上找的在CentOS7上設(shè)置防火墻方法，親測放心使用。

安裝iptables防火墻yum install iptables-services #安裝vi /etc/sysconfig/iptables #編輯防火墻配置文件# Firewall configuration written by system-config-firewall# Manual customization of this file is not recommended.*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT-A INPUT -j REJECT --reject-with icmp-host-prohibited-A FORWARD -j REJECT --reject-with icmp-host-prohibitedCOMMIT:wq! #保存退出systemctl restart iptables.service #最后重啟防火墻使配置生效systemctl enable iptables.service #設(shè)置防火墻開機啟動

因為從網(wǎng)上找的文檔，也怕踩坑，所以，剛開始我還是使用 iptables 命令，一條條設(shè)置的規(guī)則，借此機會，也說明下，阿里云設(shè)置防火墻遇到的坑。

為了方便說明，查看序號的規(guī)則：

首先說明，默認(rèn)規(guī)則：

INPUT鏈為DROP

FORWARD鏈為DROP

OUTPUT鏈為ACCEPT；

15條規(guī)則解釋如下：

1：80、8080端口是對外開放的web服務(wù)端口，22122為ssh端口；

2：開放本地127.0.0.1回環(huán)接口，放行本地主機內(nèi)部通信；

3：放行icmp即允許ping通本機；

4：放行RELATED：相關(guān)聯(lián)的連接；放行ESTABLISHED：連接追蹤模板當(dāng)中存在的記錄的連接；

注意：此條不添加，阿里云主機的安騎士功能agent會顯示離線；關(guān)于阿里云主機web頁面的相關(guān)設(shè)置，以后有空再做敘述。

5、6：放行阿里云dns服務(wù)器的地址；

7、8：放行公司的ip訪問服務(wù)器所有端口；

9-15：為阿里云提供的放行安騎士的ip和端口，鏈接為：https://help.aliyun.com/document_detail/31776.html?spm=5176.product28449.6.116.Llvb9n

按照上述方法，設(shè)置防火墻后，保存規(guī)則即可。