1、关闭默认的firewall防火墙

#systemctl stop firewalld.service停止firewalld服务

#systemctl disable firewalld.service进制开机自启动

        2、开启iptables

#yum install iptables（根据centOS7的版本和内核，有些版本已经装过，可以跳过此命令）

#yum install iptables-services

#vim /etc/sysconfig/iptables

编辑如下（开启了21,22,80,3306端口）：

1. # sampleconfiguration for iptables service  

2. # # you can edit thismanually or use system-config-firewall  

3. # # please do not askus to add additional ports/services to this default configuration  

4. *filter  

5. :INPUT ACCEPT [0:0]  

6. :FORWARD ACCEPT [0:0]  

7. :OUTPUT ACCEPT [0:0]  

8. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  

9. -A INPUT -p icmp -j ACCEPT  

10. -A INPUT -i lo -j ACCEPT  

11. -A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT  

12. -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT  

13. -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT  

14. -A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT  

15. -A INPUT -j REJECT --reject-with icmp-host-prohibited  

16. -A FORWARD -j REJECT --reject-with icmp-host-prohibited  

17. COMMIT  

:wq保存

        3、开启服务，设置开机自启动

#service iptables restart

#chkconfig iptables on或者systemctl enable iptables.service?机自启

tip:如果在重启iptables的时候，碰到让你journalctl -xe的错误，使用#journalctl -xe -l来查看错误

一般是语法错误，请仔细查看iptables文件的语法。