最近公司又上了一台伺服器,以前都是用centos 6系統,這次選擇使用了centos 7系統的安裝鏡像,因為現在程式版本在centos 7上一般php預設就是5.4以上的,mysql也變成了mariadb,但使用都一樣而已,apache安裝的httpd程式也是2.4的版本,是以就算yum安裝基本服務也是比較新一些的版本吧。
公司撥款後就在阿裡雲背景買了台主機,直接yum裝的lamp,添加虛拟主機的配置檔案這裡就不說了,網上一堆的配置文檔,隻記錄下,在centos7上遇到的坑。
lamp環境都搭好好,配置檔案也準備好了,域名指向也都做好了。開始做iptbales防火牆設定了,此時遇到坑了。本以為在centos7上,隻是使用firewalld控制iptables的啟動與停止等相關操作,不成想根本不是那麼回事,害的小弟我吭哧吭哧查半天問題。
要想在阿裡雲主機上使用centos7的防火牆,預設的是firewalld程式,如果對此程式配置指令不熟悉,還是使用iptables的程式來控制防火牆吧。我是先把firewalld程式關閉了且禁止開機啟動:
]# systemctl stop firewalld.service
]# systemctl disable firewalld.service
然後就是,安裝iptables防火牆,開啟防火牆,進行配置即可。
否則,我一開始上來在centos7上啟用:
systemctl start firewalld.service
然後,就用iptables添加了放行的各種規則,INPUT預設設為DROP,FORWARD預設設為DROP,OUTPUT預設為ACCEPT。當設定
iptables -P INPUT DROP
後,網站就挂了,經過多次折騰,判斷就是這條紅色指令的問題,後來又是在網上一通查,最終問題的firewalld的問題,對firewalld不熟悉,隻好安裝centos6中通用的iptables查詢,來設定防火牆。
下面就是網上找的在centos7上設定防火牆方法,親測放心使用。
安裝iptables防火牆
yum install iptables-services #安裝
vi /etc/sysconfig/iptables #編輯防火牆配置檔案
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
:wq! #儲存退出
systemctl restart iptables.service #最後重新開機防火牆使配置生效
systemctl enable iptables.service #設定防火牆開機啟動
因為從網上找的文檔,也怕踩坑,是以,剛開始我還是使用iptables指令,一條條設定的規則,借此機會,也說明下,阿裡雲設定防火牆遇到的坑。
<a href="http://s1.51cto.com/wyfs02/M02/8A/34/wKioL1gqzHLB0YRtAACapUvB46w177.png" target="_blank"></a>
為了友善說明,檢視序号的規則:
<a href="http://s1.51cto.com/wyfs02/M01/8A/34/wKioL1gqzN3BUf1QAAC3BiWmO5w417.png" target="_blank"></a>
首先說明,預設規則:
INPUT鍊為DROP
FORWARD鍊為DROP
OUTPUT鍊為ACCEPT;
15條規則解釋如下:
1:80、8080端口是對外開放的web服務端口,22122為ssh端口;
2:開放本地127.0.0.1回環接口,放行本地主機内部通信;
3:放行icmp即允許ping通本機;
4:放行RELATED:相關聯的連接配接;放行ESTABLISHED:連接配接追蹤模闆當中存在的記錄的連接配接;
注意此條不添加,阿裡雲主機的安騎士功能agent會顯示離線;關于阿裡雲主機web頁面的相關設定,以後有空再做叙述。
<a href="http://s2.51cto.com/wyfs02/M01/8A/34/wKioL1gqz66hdxOyAAHvXl8z6MY006.png" target="_blank"></a>
5、6:放行阿裡雲dns伺服器的位址;
7、8:放行公司的ip通路伺服器所有端口;
按照上述方法,設定防火牆後,儲存規則即可。
本文轉自 crystaleone 51CTO部落格,原文連結:http://blog.51cto.com/linsj/1873143,如需轉載請自行聯系原作者
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)