NetVaultサーバをRHEL上にたてて、クライアントにNetAppとRHELとWindows Serverがいる場合のファイアウォール設定サンプル。
必要なポートについては「Netvault 13.1.2 管理ガイド NetVaultが使用するポート」「NetVault 12.0管理ガイド ファイアウォールの設定の例」より流用。
NetVaultサーバ/クライアント間の基本的な通信はネットワークマネージャによりポート20031のTCP/UDPで行われる。
またクライアント上でコミュニケーションマネージャがポート20032 TCPを使用する。
また、NDMPバックアップの場合、NetVaultサーバ側でポート10000 TCPと40000 TCPを使用する。
設定はOS側のfirewall設定と、NetVault側のファイアウォール設定の2つを行う。
NetVault側ファイアウォール設定
NetVaultサーバ側は以下のように設定する。設定したあとはサービス再起動が必須。
デバイス待ち受けポート | 50100-50199 |
デバイス接続ポート | 50200-50299 |
メッセージ チャンネルの待ち受けポート | 50300-50399 |
メッセージ チャンネルの接続ポート | 50400-50499 |
NDMPコントロール チャンネルの接続ポート | 10000 |
NetVault NDMPデータ チャンネルの待ち受けポート | 40000 |
NetVaultマシン間の内部的な通信に使用するポート | 50500-50599 |
クライアント側はNDMP関連設定がなくでも良い。設定したあとはサービス再起動が必須。
デバイス待ち受けポート | 50100-50199 |
デバイス接続ポート | 50200-50299 |
メッセージ チャンネルの待ち受けポート | 50300-50399 |
メッセージ チャンネルの接続ポート | 50400-50499 |
NDMPコントロール チャンネルの接続ポート | |
NetVault NDMPデータ チャンネルの待ち受けポート | |
NetVaultマシン間の内部的な通信に使用するポート | 50500-50599 |
クライアント側のfirewallが動いている場合、NetVaultサーバからの設定変更を受け付けることができない。Windowsの場合はスタートメニューにある「NetVault Configurator」を起動して変更する。
Linuxの場合は、NetVaultクライアント側で「txtconfig」コマンドを実行して設定を変更する。(Windowsにもtxtconfigがあるが、日本語が文字化けをする)
txtconfigを実行すると以下のような画面が表示される。
「p」と入力すると、2枚目のメニューが表示される。この中の「19. ファイアウォール」を変更するため「19」と入力する。
上から順に設定を変更していく。
最後は「s」を入力し、変更を保存して終了する。(qだと設定を反映しない)
OS側firewall設定
サーバ側として以下を開ける
・8443 TCP (管理画面)
・10000 TCP (NDMP)
・40000 TCP (NDMP)
・20031-20032 TCP
・20031 UDP
・50100-50599 TCP
クライアント側は管理画面用の8443と、NDMP用の10000と40000の設定を抜く。
CentOS7クライアントの場合以下とした
# firewall-cmd --permanent --zone=public --add-port=8443/tcp
# firewall-cmd --permanent --zone=public --add-port=10000/tcp
# firewall-cmd --permanent --zone=public --add-port=40000/tcp
# firewall-cmd --permanent --zone=public --add-port=20031-20032/tcp
# firewall-cmd --permanent --zone=public --add-port=20031/udp
# firewall-cmd --permanent --zone=public --add-port=50100-50599/tcp
# firewall-cmd --reload
Windowsクライアントの場合以下とした。
netsh advfirewall firewall add rule name=”NVBU TCP in ports” dir=in protocol=tcp localport=20031-20032 action=allow
netsh advfirewall firewall add rule name=”NVBU TCP in ports” dir=in protocol=tcp localport=50100-50599 action=allow
netsh advfirewall firewall add rule name=”NVBU TCP out ports” dir=out protocol=tcp localport=20031-20032 action=allow
netsh advfirewall firewall add rule name=”NVBU TCP out ports” dir=out protocol=tcp localport=50100-50599 action=allow
netsh advfirewall firewall add rule name=”NVBU UDP in ports” dir=in protocol=udp localport=20031 action=allow
netsh advfirewall firewall add rule name=”NVBU UDP out ports” dir=out protocol=udp localport=20031 action=allow
最後にNetVaultのクライアント管理にてクライアント追加を行う際に「クライアントはファイアウォールの外側に存在」にチェックを入れることを忘れないこと。(入れないとNetVaultサーバからクライアントへのアクセスに指定したポートを使用しない)