MySQL 3306端口,对指定IP解除防火墙限制

最新推荐文章于 2023-05-19 19:03:44 发布
最新推荐文章于 2023-05-19 19:03:44 发布
阅读量2.4k 收藏
点赞数
分类专栏: mysql linux 文章标签: mysql linux centos
linux 同时被 2 个专栏收录
11 篇文章 0 订阅
订阅专栏
mysql
5 篇文章 0 订阅
订阅专栏



转载:http://blog.sina.com.cn/s/blog_4c197d4201017rgl.html


root@mysql101 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
RH-Firewall-1-INPUT  all  --  anywhere             anywhere           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
RH-Firewall-1-INPUT  all  --  anywhere             anywhere           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        

Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     icmp --  anywhere             anywhere            icmp any
ACCEPT     esp  --  anywhere             anywhere           
ACCEPT     ah   --  anywhere             anywhere           
ACCEPT     udp  --  anywhere             224.0.0.251         udp dpt:mdns
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ipp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ipp
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:http
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited
[root@mysql101 ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.3.5 on Thu Jul 12 15:54:52 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [91:8616]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Jul 12 15:54:52 2012
[root@mysql101 ~]# iptables -A INPUT  -p tcp -s 192.168.2.66  --dport 3306 -j ACCEPT
[root@mysql101 ~]# service iptables save
Saving firewall rules to /etc/sysconfig/iptables: [  OK  ]
[root@mysql101 ~]# /etc/init.d/iptables restart
Flushing firewall rules: [  OK  ]
Setting chains to policy ACCEPT: filter [  OK  ]
Unloading iptables modules: [  OK  ]
Applying iptables firewall rules: [  OK  ]
Loading additional iptables modules: ip_conntrack_netbios_ns [  OK  ]

发现mysql远程还是不能访问...MySQL <wbr>3306端口,对指定IP解除防火墙限制
[root@mysql101 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
RH-Firewall-1-INPUT  all  --  anywhere             anywhere           
ACCEPT     tcp  --  192.168.2.66         anywhere            tcp dpt:mysql

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
RH-Firewall-1-INPUT  all  --  anywhere             anywhere           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        

Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     icmp --  anywhere             anywhere            icmp any
ACCEPT     esp  --  anywhere             anywhere           
ACCEPT     ah   --  anywhere             anywhere           
ACCEPT     udp  --  anywhere             224.0.0.251         udp dpt:mdns
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ipp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ipp
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:http
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited

[root@localhost sysconfig]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.3.5 on Thu Jul 12 02:41:58 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [95:9540]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A INPUT -s 192.168.2.66 -p tcp -m tcp --dport 3306 -j ACCEPT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Jul 12 02:41:58 2012
**************************************************************************************************

删除刚加入的那条对66的accept...重来...
**************************************************************************************************

[root@mysql101 ~]# iptables -I INPUT  -p tcp -s 192.168.2.66  --dport 3306 -j ACCEPT
[root@mysql101 ~]# service iptables save
Saving firewall rules to /etc/sysconfig/iptables: [  OK  ]
[root@mysql101 ~]# /etc/init.d/iptables restart
Flushing firewall rules: [  OK  ]
Setting chains to policy ACCEPT: filter [  OK  ]
Unloading iptables modules: [  OK  ]
Applying iptables firewall rules: [  OK  ]
Loading additional iptables modules: ip_conntrack_netbios_ns [  OK  ]

发现mysql远程可以访问了...MySQL <wbr>3306端口,对指定IP解除防火墙限制 but,为什么呢MySQL <wbr>3306端口,对指定IP解除防火墙限制
[root@mysql101 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     tcp  --  192.168.2.66         anywhere            tcp dpt:mysql
RH-Firewall-1-INPUT  all  --  anywhere             anywhere           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
RH-Firewall-1-INPUT  all  --  anywhere             anywhere           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        

Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     icmp --  anywhere             anywhere            icmp any
ACCEPT     esp  --  anywhere             anywhere           
ACCEPT     ah   --  anywhere             anywhere           
ACCEPT     udp  --  anywhere             224.0.0.251         udp dpt:mdns
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ipp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ipp
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:http
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited
[root@mysql101 ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.3.5 on Thu Jul 12 17:03:31 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [121:11860]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -s 192.168.2.66 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Jul 12 17:03:31 2012
原因:

-A 在当前的规则后添加,也就是排在所有规则后
-I 作为第一条规则插入
iptables执行规则时,是从从规则表中从上至下顺序执行的。
参考资料:http://linux.chinaunix.net/techdoc/net/2009/02/11/1061724.shtml

一个很直观的例子说明iptables自上而下的执行顺序(iptables中的不封截取)。

情况一:

-A INPUT -s 192.168.2.66 -p tcp -m tcp --dport 3306 -j ACCEPT

-A INPUT -s 192.168.1.145 -p tcp -m tcp --dport 3306 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 3306 -j DROP

上面这种写法的时候,是66和145都能访问的。

情况二:

-A INPUT -s 192.168.2.66 -p tcp -m tcp --dport 3306 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -s 192.168.1.145 -p tcp -m tcp --dport 3306 -j ACCEPT

上面这种写法的时候,只有66能访问的。
情况三:

-A INPUT -p tcp -m tcp --dport 3306 -j DROP

-A INPUT -s 192.168.2.66 -p tcp -m tcp --dport 3306 -j ACCEPT

-A INPUT -s 192.168.1.145 -p tcp -m tcp --dport 3306 -j ACCEPT

上面这种写法的时候,是66和145都不能访问的。

**************************************************************************************************

其实可以选择iptables -F -> service iptables save ->/etc/init.d/iptables restart...

然后再执行iptable -A等等...这样就没有刚才的问题了,因为iptables -F会解除所有现有的规则。但是,这是由风险滴...

so,还不如...vi /etc/sysconfig/iptables ->添加自定义规则 ->/etc/init.d/iptables restart...

参考资料:

http://www.linuxeden.com/html/softuse/20100607/103309.html


转载: http://blog.sina.com.cn/s/blog_4c197d4201017rgl.html
auspi12341
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ubuntu 16.04下mysql5.7.17开放远程3306端口
09-09
主要介绍了ubuntu 16.04下mysql5.7.17开放远程3306端口的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
MySQL如何修改账号的IP限制条件详解
09-09
主要给大家介绍了关于MySQL如何修改账号的IP限制条件的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
ubuntu 15.04开放mysql远程3306端口
06-29
ubuntu 15.04开放mysql远程3306端口
iptables 限制IP的使用方式
LiF29103的博客
06-29 9188
iptables 是一个非常好用的工具,一些简单的防火墙功能都可以通过 iptables 实现,今天给大家分享下最常用的两种用法:封禁指定 IP,以及封禁 IP 段的写法。1、封禁 IP例如这里要封禁 IP 地址 114.232.9.171: 2、封禁 IP 段例如这里要封禁 117.41.187.* 这个 IP 段: 3、封禁效果查看查看命令如下 如下图所示:......
Ubuntu 18.04 搭建iptables防火墙
cocosum
11-21 6008
1、检查是否有安装iptables, 我是在root账号下执行的,如果非root有些请加上sudo # 检查 root@cocosum:~# which iptables /sbin/iptables root@cocosum:~# whereis iptables iptables: /sbin/iptables /etc/iptables /usr/share/iptables /usr/...
Docker 火了!外部网络可直接访问映射到 127.0.0.1 的服务。。。
方志朋的博客
07-16 134
欢迎关注方志朋的博客,回复”666“获面试宝典来源:云原生实验室这两天 Hacker News 上面有一个贴子火了,这是一封发给 Docker 安全团队的邮件,主要讲的是 Docker 有一个非常离谱的安全隐患。即使你通过像-p 127.0.0.1:80:80这样的参数将端口暴露到回环地址,外部仍然可以访问该服务,怎么回事呢?原因其实很简单,Docker 添加了这样一条...
linuxiptables
johnhan9的博客
03-21 317
系统:Ubuntu18.04 iptables是一款基于命令行的防火墙策略管理工具 常用命令 -P:设置默认策略 -F:清空规则链 -L:查看规则链 -A:在规则链末尾加入新规则 -I num:在规则链指定编号位置前插入新规则 -D num:删除某条规则 常用参数 -s:匹配来源地址IP/MASK,加叹号”!”表示除了某个ip外 -d:匹配目标地址 -i 网卡名称:匹配从这块...
mysql远程防火墙3306端口
alex_fung的博客
01-19 760
前言:mysql需要打开防火墙3306才能被远程 win7 1、打开控制面板-防火墙-高级设置,如下图: 2、新建入站规则,如下图 3、选择端口,填写80,,3306
利用防火墙规避常用端口安全使用问题
li_liu10的博客
10-12 629
如不想变更端口号,可利用防火墙规避常用端口安全使用问题 如想限制mysql 3306端口外网访问,可执行如下防火墙命令,执行后请观察是否影响正常业务,如有影响,请执行恢复命令 --禁止3306端口 iptables-IINPUT-ptcp--dport3306 -jDROP --允许127.0.0.1(本机)开放使用3306端口 iptables-IINPUT-s127.0.0.1-ptcp--dport3306 -jACCEPT --查看防火墙情况...
屏蔽3306端口
qq_35581237的博客
06-20 1031
屏蔽3306 端口访问iptables -A INPUT -p tcp -s 100.168.141.2   --dport 3306   -j ACCEPTiptables -A INPUT -p tcp --dport 3306   -j DROPiptables-save &gt; /etc/sysconfig/iptables--------------------------------...
linuxmysql开启远程访问权限 防火墙开放3306端口
09-09
主要为大家详细介绍了linuxmysql开启远程访问权限,防火墙开放3306端口,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
解决Can't connect to MySQL server问题
JiezhiG的专栏
01-28 6160
今天远程访问Ubuntu上的MySQL时出现错误: ERROR 2003 (HY000): Can't connect to MySQL server on '192.168.1.49' (60)所以先登录服务器,用命令netstat -tuln查看一下:Active Internet connections (only servers) Proto Recv-Q Send-Q Local Add
Linux安装MySQL后无法通过IP地址访问处理方法
Keep learing, and stay fast
05-19 1388
本文主要总结安装Mysql后,其他主机访问不了MySQL数据库的原因和解决方法
Linux 防火墙
m0_59659635的博客
09-21 183
目录 一、Linux 防火墙基础 1.概述 2.netfilter 与 iptables ①netfilter ②iptables 3.iptables的表、链结构 ①四表五链 ②四表 ③五链 ④数据包过滤的匹配流程 ⑤规则表之间的匹配顺序 ⑥规则链之间的顺序 ⑦规则链内部各条防火墙规则之间的顺序 二、编写防火墙规则 1.安装iptables 2.基本语法 3.常用的控制类型 4.常用的管理选项 ①添加新的规则 ②查看规则表 ③删除、清空规则 ④设置默认策略 5
关闭不必要的端口和服务-CentOS
weixin_30432007的博客
01-04 867
首先要检测一下哪些端口是开放的: 运行: netstat -tunlp 在我的CentOS 6主机上的结果如下: 1 Active Internet connections (only servers) 2 Proto Recv-Q Send-Q Local Address Foreign Address State PID...
配置防火墙,开启80端口3306端口 & iptables 使用详解
热门推荐
HarryChenj的专栏
11-12 6万+
vi /etc/sysconfig/iptables -A INPUT -m statestate NEW -m tcp -p tcp –dport 80 -j ACCEPT(允许80端口通过防火墙) -A INPUT -m statestate NEW -m tcp -p tcp –dport 3306 -j ACCEPT(允许3306端口通过防火墙) 特别提示:很多网友把这两条规
Linux 防火墙查看访问限制 和 增加特定IP 访问
huaishuming的专栏
11-26 1万+
首先查看当前规则: iptables --list [root@joytest1 ~]# iptables --list Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- xxxx.xxxx.50.45 anywher
MySQL 开启与关闭远程访问
duck_arrow的专栏
10-30 5万+
MySQL 开启与关闭远程访问 (1)通过MySQL用户去限制访问 权限系统目的: MySQL基于安全考虑root账户一般只能本地访问,但是在开发过程中可能需要打开root的远程访问权限,今天介绍的就是如何开启和关闭Mysql远程访问 MySQL权限系统的主要功能是证实连接到一台给定主机的用户,并且赋予该用户在数据库上的SELECT、INSERT、UPDATE和DELETE权限
centos搭建bind遇到的问题以及解决方案
include_heqile的博客
05-31 1009
我之前配置出错的原因是将dns记录文件放在了/etc/named目录下,正确的应该是/var/named,这个可以从"/etc/named.conf"文件中看出来 15 directory "/var/named"; #这里指定了dns记录文件存放的目录位置 dns服务器ip配置问题: 之前使用nmtui没有配置成功,是因为ip地址获取方式没有调整为手动(静态获取),这样导致的结果就是"/etc/resolv.conf"文件中的dns服务器IP 在每次重启之后都会自动获取
mysql3306端口被占用
最新发布
06-07
如果你的MySQL 3306端口被占用,你可以尝试以下步骤来解决问题: 1. 查看占用端口的进程:可以使用命令 `netstat -ano | findstr :3306` (Windows)或 `lsof -i :3306`(Linux/Mac)来查看占用3306端口的进程ID。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值