昨天帮朋友配置CentOSserver，一開始为了方便測试直接把防火墙关了。之后便须要配置好防火墙，网上找了几个防火墙规则都有错误，后来发现是博主发帖不认真，有太多字符错误，以下是我整理的亲測可用的防火墙规则的配置过程：

改动 iptables-config

首先改动iptables-config文件的一个配置项

$ vi /etc/sysconfig/iptables-config

把文件最后一行IPTABLES_MODULES="ip_conntrack_ftp" 改为#IPTABLES_MODULES="ip_conntrack_ftp" ，即凝视掉那一行配置项

加入规则

$ vi /etc/sysconfig/iptables

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [5:564]

:RH-Firewall-1-INPUT - [0:0]

-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT

-A INPUT -j RH-Firewall-1-INPUT

-A FORWARD -j RH-Firewall-1-INPUT

-A RH-Firewall-1-INPUT -i lo -j ACCEPT

-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT

-A RH-Firewall-1-INPUT -p esp -j ACCEPT

-A RH-Firewall-1-INPUT -p ah -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT

-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT

已经包括Mysql数据库的3306端口和Tomcat的8080端口，可依据须要增删端口。