应先放行本地回环(-A INPUT -s 127.0.0.1 -p tcp --dport 3306 -j ACCEPT),再拒绝外部访问(-A INPUT -p tcp --dport 3306 ! -s 127.0.0.1 -j DROP),并配合安全组与 bind-address 协同防护。iptables 怎么封掉 MySQL 默认端口(3306)直接封 3306 是最常见也最容易出问题的操作------封错方向或漏掉本地回环,会导致 MySQL 自己连不上自己。mysqld 启动时会尝试连接本地 127.0.0.1:3306 做初始化检查,如果 iptables 把 INPUT 链里所有 3306 都 DROP,服务根本起不来。实操建议:优先用 -A INPUT -s 127.0.0.1 -p tcp --dport 3306 -j ACCEPT 放行本地回环,再加拒绝规则封外部访问时,用 -A INPUT -p tcp --dport 3306 ! -s 127.0.0.1 -j DROP(注意 ! 前后有空格)别用 REJECT,改用 DROP:避免暴露服务器运行了 MySQL(REJECT 会发 RST 包,扫端口时一眼识别)规则顺序很重要:iptables 自上而下匹配,放行规则必须写在拒绝规则之前云服务器安全组 vs iptables:哪个该优先配云厂商(阿里云、腾讯云、AWS)的安全组是网络层的第一道过滤,比系统内 iptables 更早生效。如果安全组已经禁止了 3306 入向,iptables 再怎么配都收不到包------但反过来,如果安全组开了 3306,iptables 就必须兜底。实操建议:生产环境必须双层控制:安全组只放行可信 IP 段(如运维跳板机、应用服务器内网段),iptables 做二次校验别依赖单一防护:安全组配置可能被误操作清空,iptables 规则重启不失效(若已保存)查安全组是否生效,用 telnet 公网IP 3306 从外网测;查 iptables 是否生效,用 curl -v telnet://127.0.0.1:3306 或本地 nc 测MySQL 绑定地址(bind-address)和防火墙的关系bind-address 配置决定 MySQL 监听哪些网卡,它和防火墙不是互斥关系,而是协同失效点。比如设成 127.0.0.1 后,MySQL 根本不监听公网网卡,iptables 就算没规则,外网也连不上------但很多人误以为"这样就安全了",其实只要改一行配置就能暴露。 通义听悟 阿里云通义听悟是聚焦音视频内容的工作学习AI助手,依托大模型,帮助用户记录、整理和分析音视频内容,体验用大模型做音视频笔记、整理会议记录。
相关推荐
qq_414256571 小时前
Go语言如何用strings.Builder_Go语言strings.Builder教程【总结】lulu12165440781 小时前
国内怎么用GPT5.5?基于weelinking零门槛合规接入GPT5.5全系列生产级能力阿坤带你走近大数据1 小时前
Oracle-表空间tempNavicat中国1 小时前
数据库事务隔离级别的实践指南南宫萧幕1 小时前
基于 DQN 与 Python-Simulink 联合仿真的 HEV 能量管理策略实战马优晨1 小时前
数据库的连接池、最大连接池会话数目、SQL查询超时时间、连接等待超时时间是什么意思?iwS2o90XT1 小时前
Java多线程编程:Thread与Runnable的并发控制tengyuxin1 小时前
使用ComfyUI 制作图片2301_769340671 小时前
SQL如何处理分组后的空值统计_善用COALESCE与聚合函数