应先放行本地回环(-A INPUT -s 127.0.0.1 -p tcp --dport 3306 -j ACCEPT),再拒绝外部访问(-A INPUT -p tcp --dport 3306 ! -s 127.0.0.1 -j DROP),并配合安全组与 bind-address 协同防护。iptables 怎么封掉 MySQL 默认端口(3306)直接封 3306 是最常见也最容易出问题的操作------封错方向或漏掉本地回环,会导致 MySQL 自己连不上自己。mysqld 启动时会尝试连接本地 127.0.0.1:3306 做初始化检查,如果 iptables 把 INPUT 链里所有 3306 都 DROP,服务根本起不来。实操建议:优先用 -A INPUT -s 127.0.0.1 -p tcp --dport 3306 -j ACCEPT 放行本地回环,再加拒绝规则封外部访问时,用 -A INPUT -p tcp --dport 3306 ! -s 127.0.0.1 -j DROP(注意 ! 前后有空格)别用 REJECT,改用 DROP:避免暴露服务器运行了 MySQL(REJECT 会发 RST 包,扫端口时一眼识别)规则顺序很重要:iptables 自上而下匹配,放行规则必须写在拒绝规则之前云服务器安全组 vs iptables:哪个该优先配云厂商(阿里云、腾讯云、AWS)的安全组是网络层的第一道过滤,比系统内 iptables 更早生效。如果安全组已经禁止了 3306 入向,iptables 再怎么配都收不到包------但反过来,如果安全组开了 3306,iptables 就必须兜底。实操建议:生产环境必须双层控制:安全组只放行可信 IP 段(如运维跳板机、应用服务器内网段),iptables 做二次校验别依赖单一防护:安全组配置可能被误操作清空,iptables 规则重启不失效(若已保存)查安全组是否生效,用 telnet 公网IP 3306 从外网测;查 iptables 是否生效,用 curl -v telnet://127.0.0.1:3306 或本地 nc 测MySQL 绑定地址(bind-address)和防火墙的关系bind-address 配置决定 MySQL 监听哪些网卡,它和防火墙不是互斥关系,而是协同失效点。比如设成 127.0.0.1 后,MySQL 根本不监听公网网卡,iptables 就算没规则,外网也连不上------但很多人误以为"这样就安全了",其实只要改一行配置就能暴露。 通义听悟 阿里云通义听悟是聚焦音视频内容的工作学习AI助手,依托大模型,帮助用户记录、整理和分析音视频内容,体验用大模型做音视频笔记、整理会议记录。
相关推荐
前端若水24 分钟前
会话管理:创建、切换、删除对话历史lzhdim39 分钟前
SQL 入门 15:SQL 事务:从 ACID 到四种常见的并发问题瀚高PG实验室1 小时前
瀚高企业版V9.1.1在pg_restore还原备份文件时提示extract函数语法问题涛声依旧-底层原理研究所1 小时前
残差连接与层归一化通俗易懂的详解csdn_aspnet1 小时前
Python 算法快闪 LeetCode 编号 70 - 爬楼梯TDengine (老段)1 小时前
TDengine Tag 设计哲学与 Schema 变更机制fantasy_arch2 小时前
pytorch人脸匹配模型熊猫_豆豆2 小时前
广义相对论水星近日点进动完整详细数学推导web3.08889992 小时前
1688 图搜接口(item_search_img / 拍立淘) 接入方法YOU OU2 小时前
Spring IoC&DI