Я не совсем понимаю, как я могу подключиться к своей базе данных через порт 3306, если мой сервер должен блокировать все, кроме показанных портов.
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 193K 12M DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 state NEW recent: UPDATE seconds: 60 hit_count: 12 name: DEFAULT side: source mask: 255.255.255.255
2 1934 118K all -- eth0 * 0.0.0.0/0 0.0.0.0/0 state NEW recent: SET name: DEFAULT side: source mask: 255.255.255.255
3 531K 189M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
4 3 192 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
5 17 1262 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
6 66 6255 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
7 2 420 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:500
8 1 376 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4500
9 1928 117K DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 524K 149M ACCEPT all -- * * 10.10.10.0/24 0.0.0.0/0 policy match dir in pol ipsec proto 50
2 413K 659M ACCEPT all -- * * 0.0.0.0/0 10.10.10.0/24 policy match dir out pol ipsec proto 50
3 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Единственное, что у меня есть, это то, что ESTABLISHED
опция могла позволить порту пройти до настройки брандмауэра. Но все же обязательно где-то должен появиться порт 3306. Иначе как после перезагрузки узнать, какие порты были установлены ранее?
Исходящий трафик к экземпляру MySQL RDS разрешен, если явно не запрещен в исходящем правиле.
Обычно mysql прослушивает «localhost» или «127.0..0.1». Этот адрес обычно назначается lo
устройство. Глядя на твои правила
num pkts bytes target prot opt in out source destination
1 193K 12M DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0
Это отбрасывает все пакеты, поступающие на интерфейс eth0.
num pkts bytes target prot opt in out source destination
5 17 1262 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
Это позволяет всем пакетам поступать на интерфейс lo. Ваш mysql прослушивает IP-адрес, связанный с интерфейсом lo (127.0.0.1), и поэтому пакеты попадают в правильный пункт назначения.