Cent OS 7 上的防火墙设置教程来了

描述

最近公司又上了一台服务器,以前都是用 CentOS 6 系统,这次选择使用了 CentOS  7 系统的安装镜像,因为现在程序版本在 CentOS 7 上一般 php 默认就是 5.4 以上的,MySQL 也变成了 mariadb ,但使用都一样而已, Apache 安装的 httpd 程序也是 2.4 的版本,所以就算 yum 安装基本服务也是比较新一些的版本吧。

公司拨款后就在阿里云后台买了台主机,直接 yum 装的 LAMP ,添加虚拟主机的配置文件这里就不说了,网上一堆的配置文档,只记录下,在 CentOS 7 上遇到的坑。 

LAMP 环境都搭好,配置文件也准备好了,域名指向也都做好了。开始做 iptbales 防火墙设置了,此时遇到坑了。本以为在 CentOS 7 上,只是使用 firewalld 控制 iptables 的启动与停止等相关操作,不成想根本不是那么回事,害的小弟我吭哧吭哧查半天问题。

要想在阿里云主机上使用 CentOS 7 的防火墙,默认的是 firewalld 程序,如果对此程序配置命令不熟悉,还是使用 iptables 的程序来控制防火墙吧。我是先把 firewalld 程序关闭了且禁止开机启动:

# systemctl stop firewalld.service# systemctl disable firewalld.service

然后就是,安装 iptables 防火墙,开启防火墙,进行配置即可。

否则,我一开始上来在 CentOS 7 上启用:

systemctl start firewalld.service

然后,就用 iptables 添加了放行的各种规则, INPUT 默认设为 DROP , FORWARD 默认设为 DROP , OUTPUT 默认为 ACCEPT 。

iptables -P INPUT DROP

当设置后,网站就挂了,经过多次折腾,判断就是这条红色命令的问题,后来又是在网上一通查,最终问题的 firewalld 的问题,对 firewalld 不熟悉,只好安装 CentOS 6 中通用的 iptables 查询,来设置防火墙。

下面就是网上找的在CentOS 7上设置防火墙方法,亲测放心使用。

安装iptables防火墙yum install iptables-services #安装vi /etc/sysconfig/iptables #编辑防火墙配置文件# Firewall configuration written by system-config-firewall# Manual customization of this file is not recommended.*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT-A INPUT -j REJECT --reject-with icmp-host-prohibited-A FORWARD -j REJECT --reject-with icmp-host-prohibitedCOMMIT:wq! #保存退出systemctl restart iptables.service #最后重启防火墙使配置生效systemctl enable iptables.service #设置防火墙开机启动

因为从网上找的文档,也怕踩坑,所以,刚开始我还是使用 iptables 命令,一条条设置的规则,借此机会,也说明下,阿里云设置防火墙遇到的坑。

防火墙

为了方便说明,查看序号的规则:

防火墙

首先说明,默认规则:

INPUT链为DROP

FORWARD链为DROP

OUTPUT链为ACCEPT;

15条规则解释如下:

1:80、8080端口是对外开放的web服务端口,22122为ssh端口;

2:开放本地127.0.0.1回环接口,放行本地主机内部通信;

3:放行icmp即允许ping通本机;

4:放行RELATED:相关联的连接;放行ESTABLISHED:连接追踪模板当中存在的记录的连接;

注意:此条不添加,阿里云主机的安骑士功能agent会显示离线;关于阿里云主机web页面的相关设置,以后有空再做叙述。

防火墙

5、6:放行阿里云dns服务器的地址;

7、8:放行公司的ip访问服务器所有端口;

9-15:为阿里云提供的放行安骑士的ip和端口,链接为:https://help.aliyun.com/document_detail/31776.html?spm=5176.product28449.6.116.Llvb9n

按照上述方法,设置防火墙后,保存规则即可。

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分