Назад | Перейти на главную страницу

Как iptables разрешает доступ к 3306, если для него установлено значение «Отбросить все»?

Я не совсем понимаю, как я могу подключиться к своей базе данных через порт 3306, если мой сервер должен блокировать все, кроме показанных портов.

    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     193K   12M DROP       all  --  eth0   *       0.0.0.0/0            0.0.0.0/0            state NEW recent: UPDATE seconds: 60 hit_count: 12 name: DEFAULT side: source mask: 255.255.255.255
2     1934  118K            all  --  eth0   *       0.0.0.0/0            0.0.0.0/0            state NEW recent: SET name: DEFAULT side: source mask: 255.255.255.255
3     531K  189M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
4        3   192 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
5       17  1262 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
6       66  6255 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
7        2   420 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:500
8        1   376 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:4500
9     1928  117K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     524K  149M ACCEPT     all  --  *      *       10.10.10.0/24        0.0.0.0/0            policy match dir in pol ipsec proto 50
2     413K  659M ACCEPT     all  --  *      *       0.0.0.0/0            10.10.10.0/24        policy match dir out pol ipsec proto 50
3        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Единственное, что у меня есть, это то, что ESTABLISHED опция могла позволить порту пройти до настройки брандмауэра. Но все же обязательно где-то должен появиться порт 3306. Иначе как после перезагрузки узнать, какие порты были установлены ранее?

Исходящий трафик к экземпляру MySQL RDS разрешен, если явно не запрещен в исходящем правиле.

Обычно mysql прослушивает «localhost» или «127.0..0.1». Этот адрес обычно назначается lo устройство. Глядя на твои правила

num   pkts bytes target     prot opt in     out     source               destination
1     193K   12M DROP       all  --  eth0   *       0.0.0.0/0            0.0.0.0/0   

Это отбрасывает все пакеты, поступающие на интерфейс eth0.

num   pkts bytes target     prot opt in     out     source               destination
5       17  1262 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0

Это позволяет всем пакетам поступать на интерфейс lo. Ваш mysql прослушивает IP-адрес, связанный с интерфейсом lo (127.0.0.1), и поэтому пакеты попадают в правильный пункт назначения.