如果CDH集群需要和外界連接，往往會害怕不啟動防火墻會把端口暴露在危險之中。

所以可以啟用iptables并設置開啟端口白名單。

CDH官網提供了詳細的端口列表：

https://www.cloudera.com/documentation/cdh/5-1-x/CDH5-Installation-Guide/cdh5ig_ports_cdh5.html

https://www.cloudera.com/documentation/cdh/5-1-x/CDH5-Installation-Guide/cdh5ig_ports_third_party.html

然后需要討論的問題是是否需要為了安全考慮開啟iptables。

首先開啟防火墻會增加系統的負擔，如果集群和外界相連可以考慮使用硬件防火墻。

其次可以在關閉防火墻的情況下使用認證服務器比如說Kerberos還有其他安全方法比如Sentry，LDAP和ACL。