O tráfego de saída para a instância do MySQL RDS é permitido, a menos que seja explicitamente negado em uma regra de saída.
Eu não entendo muito bem como posso me conectar ao meu banco de dados na porta 3306, se o meu servidor deve bloquear tudo, menos as portas mostradas.
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 193K 12M DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 state NEW recent: UPDATE seconds: 60 hit_count: 12 name: DEFAULT side: source mask: 255.255.255.255
2 1934 118K all -- eth0 * 0.0.0.0/0 0.0.0.0/0 state NEW recent: SET name: DEFAULT side: source mask: 255.255.255.255
3 531K 189M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
4 3 192 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
5 17 1262 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
6 66 6255 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
7 2 420 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:500
8 1 376 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4500
9 1928 117K DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 524K 149M ACCEPT all -- * * 10.10.10.0/24 0.0.0.0/0 policy match dir in pol ipsec proto 50
2 413K 659M ACCEPT all -- * * 0.0.0.0/0 10.10.10.0/24 policy match dir out pol ipsec proto 50
3 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
A única idéia que tenho é que a opção ESTABLISHED
pode ter permitido que a porta passasse antes que o firewall fosse configurado. Mas ainda assim, certamente a porta 3306 deve aparecer em algum lugar. Caso contrário, como ainda sabe após uma reinicialização, quais portas foram estabelecidas anteriormente?
O tráfego de saída para a instância do MySQL RDS é permitido, a menos que seja explicitamente negado em uma regra de saída.
É comum que o mysql ouça em 'localhost' ou '127.0..0.1' Este endereço é geralmente atribuído ao dispositivo lo
. Olhando suas regras
num pkts bytes target prot opt in out source destination
1 193K 12M DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0
Isso faz com que todos os pacotes cheguem na interface eth0.
num pkts bytes target prot opt in out source destination
5 17 1262 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
Isso permite que todos os pacotes cheguem na interface lo. Seu mysql está escutando em um endereço IP associado à interface lo (127.0.0.1) e, portanto, os pacotes chegam ao destino correto.
Tags iptables ubuntu ubuntu-16.04