阿里雲主機實戰應用之centos7上的防火牆設定

2021-09-20 22:03:31 字數 2690 閱讀 6635

最近公司又上了一台伺服器,以前都是用centos 6系統,這次選擇使用了centos 7系統的安裝映象,因為現在程式版本在centos 7上一般php預設就是5.4以上的,mysql也變成了mariadb,但使用都一樣而已,apache安裝的httpd程式也是2.4的版本,所以就算yum安裝基本服務也是比較新一些的版本吧。

公司撥款後就在阿里雲後台買了臺主機,直接yum裝的lamp,新增虛擬主機的配置檔案這裡就不說了,網上一堆的配置文件,只記錄下,在centos7上遇到的坑。

lamp環境都搭好好,配置檔案也準備好了,網域名稱指向也都做好了。開始做iptbales防火牆設定了,此時遇到坑了。本以為在centos7上,只是使用firewalld控制iptables的啟動與停止等相關操作,不成想根本不是那麼回事,害的小弟我吭哧吭哧查半天問題。

要想在阿里雲主機上使用centos7的防火牆,預設的是firewalld程式,如果對此程式配置命令不熟悉,還是使用iptables的程式來控制防火牆吧。我是先把firewalld程式關閉了且禁止開機啟動:

]# systemctl stop firewalld.service

]# systemctl disable firewalld.service

然後就是,安裝iptables防火牆,開啟防火牆,進行配置即可。

否則,我一開始上來在centos7上啟用:

systemctl start firewalld.service

然後,就用iptables新增了放行的各種規則,input預設設為drop,forward預設設為drop,output預設為accept。當設定

iptables -p input drop

後,**就掛了,經過多次折騰,判斷就是這條紅色命令的問題,後來又是在網上一通查,最終問題的firewalld的問題,對firewalld不熟悉,只好安裝centos6中通用的iptables查詢,來設定防火牆。

下面就是網上找的在centos7上設定防火牆方法,親測放心使用。

安裝iptables防火牆

yum install iptables-services #安裝

vi /etc/sysconfig/iptables #編輯防火牆配置檔案

# firewall configuration written by system-config-firewall

# manual customization of this file is not recommended.

*filter

:input accept [0:0]

:forward accept [0:0]

:output accept [0:0]

-a input -m state --state established,related -j accept

-a input -p icmp -j accept

-a input -i lo -j accept

-a input -m state --state new -m tcp -p tcp --dport 22 -j accept

-a input -m state --state new -m tcp -p tcp --dport 80 -j accept

-a input -m state --state new -m tcp -p tcp --dport 3306 -j accept

-a input -j reject --reject-with icmp-host-prohibited

-a forward -j reject --reject-with icmp-host-prohibited

commit

:wq! #儲存退出

systemctl restart iptables.service #最後重啟防火牆使配置生效

systemctl enable iptables.service #設定防火牆開機啟動

因為從網上找的文件,也怕踩坑,所以,剛開始我還是使用iptables命令,一條條設定的規則,藉此機會,也說明下,阿里雲設定防火牆遇到的坑。

為了方便說明,檢視序號的規則:

首先說明,預設規則:

input鏈為drop

forward鏈為drop

output鏈為accept;

15條規則解釋如下:

1:80、8080埠是對外開放的web服務埠,22122為ssh埠;

2:開放本地127.0.0.1回環介面,放行本地主機內部通訊;

3:放行icmp即允許ping通本機;

4:放行related:相關聯的連線;放行established:連線追蹤模板當中存在的記錄的連線;

注意此條不新增,阿里雲主機的安騎士功能agent會顯示離線;關於阿里雲主機web頁面的相關設定,以後有空再做敘述。

5、6:放行阿里雲dns伺服器的位址;

7、8:放行公司的ip訪問伺服器所有埠;

9-15:為阿里雲提供的放行安騎士的ip和埠,鏈結為:

按照上述方法,設定防火牆後,儲存規則即可。

阿里雲ChatOps實戰

chatops 的理念由 devops 延伸而來,又結合 ai 人工智慧 落地,可以說是人工智慧和新型工作理念結合的產物。它也是一種新型智慧型工作方式,幫助團隊利用 chatbot 機械人使成員和各項輔助工具連線在一起,以溝通驅動的方式完成工作,同時解決人與人 人與工具 工具與工具之間的資訊孤島問題...

阿里雲主機初體驗

國外線路的主機最近都不怎麼樣,以he為代表的美國西海岸線程式設計客棧路,更是擁堵的一塌糊塗!最近跑去cnnic看了2010年的網際網路報告,據說國內至國外的線路總頻寬為1tbps多點,同時國內的 黑客童鞋們 又喜歡玩ddos,所以看上去這1t的頻寬,根本不夠他們玩的,國內至國外的線路如此擁堵也就不奇...

Nginx的應用之虛擬主機

開始前請確保selinux關閉,否則當配置完虛擬主機後,儘管許可權或者 目錄都正確,訪問的結果也是403 nginx的虛擬主機有三種方式 一 基於網域名稱的虛擬主機 1 建立對應的web站點目錄以及程式 root web01 mkdir data www root web01 echo game d...