应先放行本地回环(-A INPUT -s 127.0.0.1 -p tcp --dport 3306 -j ACCEPT),再拒绝外部访问(-A INPUT -p tcp --dport 3306 ! -s 127.0.0.1 -j DROP),并配合安全组与 bind-address 协同防护。iptables 怎么封掉 MySQL 默认端口(3306)直接封 3306 是最常见也最容易出问题的操作------封错方向或漏掉本地回环,会导致 MySQL 自己连不上自己。mysqld 启动时会尝试连接本地 127.0.0.1:3306 做初始化检查,如果 iptables 把 INPUT 链里所有 3306 都 DROP,服务根本起不来。实操建议:优先用 -A INPUT -s 127.0.0.1 -p tcp --dport 3306 -j ACCEPT 放行本地回环,再加拒绝规则封外部访问时,用 -A INPUT -p tcp --dport 3306 ! -s 127.0.0.1 -j DROP(注意 ! 前后有空格)别用 REJECT,改用 DROP:避免暴露服务器运行了 MySQL(REJECT 会发 RST 包,扫端口时一眼识别)规则顺序很重要:iptables 自上而下匹配,放行规则必须写在拒绝规则之前云服务器安全组 vs iptables:哪个该优先配云厂商(阿里云、腾讯云、AWS)的安全组是网络层的第一道过滤,比系统内 iptables 更早生效。如果安全组已经禁止了 3306 入向,iptables 再怎么配都收不到包------但反过来,如果安全组开了 3306,iptables 就必须兜底。实操建议:生产环境必须双层控制:安全组只放行可信 IP 段(如运维跳板机、应用服务器内网段),iptables 做二次校验别依赖单一防护:安全组配置可能被误操作清空,iptables 规则重启不失效(若已保存)查安全组是否生效,用 telnet 公网IP 3306 从外网测;查 iptables 是否生效,用 curl -v telnet://127.0.0.1:3306 或本地 nc 测MySQL 绑定地址(bind-address)和防火墙的关系bind-address 配置决定 MySQL 监听哪些网卡,它和防火墙不是互斥关系,而是协同失效点。比如设成 127.0.0.1 后,MySQL 根本不监听公网网卡,iptables 就算没规则,外网也连不上------但很多人误以为"这样就安全了",其实只要改一行配置就能暴露。 通义听悟 阿里云通义听悟是聚焦音视频内容的工作学习AI助手,依托大模型,帮助用户记录、整理和分析音视频内容,体验用大模型做音视频笔记、整理会议记录。
相关推荐
小帅热爱难回头2 分钟前
编写Skill生成AI落地项目系统架构diving deep35 分钟前
脚本速览-python吴声子夜歌2 小时前
SQL经典实例——使用多张表2601_951643772 小时前
Python第一,Java跌出前三,C语言杀回来了倔强的石头_3 小时前
《Kingbase护城河》——深度解密数据库行锁冲突与等待事件架构IT策士3 小时前
Redis 从入门到精通:性能调优与多语言客户端对比Bert.Cai4 小时前
Oracle INSTR函数详解AC赳赳老秦4 小时前
OpenClaw+Power Apps 实战:自动生成 Power Apps 应用、连接 Excel 数据源茉莉玫瑰花茶6 小时前
综合案例 - AI 智能租房助手 [ 5 ]ywl4708120876 小时前
jwt生产token,简单版helloworld