centos与jellyfin的网络配置

CentOS 与 Jellyfin 网络配置

一、基础网络与防火墙

• 查看网卡与地址
  • 查看接口与 IP：ip addr show（或 ifconfig -a）
  • 测试连通性：ping 网关与公网地址、nslookup 检查 DNS
• 配置静态 IP（传统 ifcfg 文件，适用于 CentOS 7/8 常见场景）
  • 编辑接口文件：/etc/sysconfig/network-scripts/ifcfg-ens33（接口名可能为 eth0/ens33/enp0s3）
  • 示例关键参数：
    • BOOTPROTO=static
    • ONBOOT=yes
    • IPADDR=192.168.1.100
    • NETMASK=255.255.255.0
    • GATEWAY=192.168.1.1
    • DNS1=8.8.8.8
    • DNS2=8.8.4.4
  • 使配置生效：systemctl restart NetworkManager 或 systemctl restart network
• 使用 NetworkManager TUI 配置（可选）
  • 运行 nmtui，在交互界面中设置 IPv4 地址/网关/DNS 并保存激活
• firewalld 放行 Jellyfin 端口
  • 放行常用端口：
    • firewall-cmd --permanent --zone=public --add-port=8096/tcp
    • firewall-cmd --permanent --zone=public --add-port=8920/tcp
    • firewall-cmd --permanent --zone=public --add-port=1900/udp
    • firewall-cmd --permanent --zone=public --add-port=5353/udp
    • 可选（局域网自动发现）：firewall-cmd --permanent --zone=public --add-port=7359/udp
  • 应用规则：firewall-cmd --reload
• SELinux 与连通性排查
  • 临时排查：sudo setenforce 0（仅测试用途，确认后再恢复为 enforcing）
  • 查看 Jellyfin 日志：/var/log/jellyfin/jellyfin.log
  • 远程访问建议：优先使用 Nginx 反向代理 + HTTPS，仅开放 80/443 到公网，Jellyfin 端口仅内网放行

二、Jellyfin 直接部署的网络要点

• 监听地址与端口
  • 配置文件：/etc/jellyfin/config/config.yaml
  • 关键项：
    • server.host: "0.0.0.0"（允许所有地址访问）
    • server.port: 8096（HTTP），securePort: 8920（HTTPS）
• 服务管理
  • 启动与开机自启：sudo systemctl enable --now jellyfin
• 访问与基础安全
  • 局域网访问：http://服务器IP:8096
  • 远程访问建议：通过 Nginx/Apache 反向代理 提供 HTTPS，并在路由器做 端口转发（如将公网 8888 转发到内网 8096），Jellyfin 管理界面中设置 外部访问地址（如 http://公网IP:8888）
  • 防火墙策略：公网仅放行 80/443；如需直接暴露 8096/8920，务必限制来源 IP 并使用强密码与定期更新

三、Docker 部署的网络要点（CentOS 8/Stream）

• 目录与权限
  • 持久化目录：/srv/jellyfin/{config,cache}；媒体目录：/media
• 运行示例（桥接网络，端口映射）
  • 命令要点：
    • -p 8096:8096 -p 8920:8920
    • -p 7359:7359/udp -p 1900:1900/udp
    • -v /srv/jellyfin/config:/config -v /srv/jellyfin/cache:/cache -v /media:/media
    • 硬件加速（Intel Quick Sync）：--device=/dev/dri:/dev/dri
    • 时区：TZ=Asia/Shanghai
    • 重启策略：--restart unless-stopped
• 防火墙
  • 放行与“直接部署”相同：对宿主机开放 8096/8920/tcp 与 1900/7359/udp，或仅开放 80/443 并配合反向代理
• 说明
  • 官方 jellyfin/jellyfin 镜像不含 Intel iHD 驱动；如需 QSV 硬件解码，可使用社区镜像（如 nyanmisaka/jellyfin:latest）或自行在宿主机部署驱动

四、远程访问与安全加固

• 反向代理与 HTTPS（Nginx 示例）
  • 安装：sudo dnf install nginx && sudo systemctl enable --now nginx
  • 站点配置片段：
    • listen 80; server_name your_domain_or_ip;
    • location / { proxy_pass http://127.0.0.1:8096; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; }
  • 证书：使用 Certbot 获取 Let’s Encrypt 证书并自动配置 Nginx
• 路由器端口转发
  • 外部端口（如 8888）→ 内部 IP（如 192.168.1.100）: 8096
  • Jellyfin 管理界面设置 外部访问地址（如 http://公网IP:8888）
• 防火墙与云安全组
  • 公网仅放行 80/443；如需直连 8096/8920，限制来源 IP
  • 云服务器需同时配置 安全组 规则
• 日志与排障
  • Jellyfin 日志：/var/log/jellyfin/jellyfin.log
  • 连通性：ping、nslookup、curl 分层验证；SELinux 异常可先临时 setenforce 0 验证，再制定策略恢复