Como o iptables permite o acesso ao 3306 se estiver configurado para Drop all?

2

Eu não entendo muito bem como posso me conectar ao meu banco de dados na porta 3306, se o meu servidor deve bloquear tudo, menos as portas mostradas.

    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     193K   12M DROP       all  --  eth0   *       0.0.0.0/0            0.0.0.0/0            state NEW recent: UPDATE seconds: 60 hit_count: 12 name: DEFAULT side: source mask: 255.255.255.255
2     1934  118K            all  --  eth0   *       0.0.0.0/0            0.0.0.0/0            state NEW recent: SET name: DEFAULT side: source mask: 255.255.255.255
3     531K  189M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
4        3   192 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
5       17  1262 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
6       66  6255 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
7        2   420 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:500
8        1   376 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:4500
9     1928  117K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     524K  149M ACCEPT     all  --  *      *       10.10.10.0/24        0.0.0.0/0            policy match dir in pol ipsec proto 50
2     413K  659M ACCEPT     all  --  *      *       0.0.0.0/0            10.10.10.0/24        policy match dir out pol ipsec proto 50
3        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

A única idéia que tenho é que a opção ESTABLISHED pode ter permitido que a porta passasse antes que o firewall fosse configurado. Mas ainda assim, certamente a porta 3306 deve aparecer em algum lugar. Caso contrário, como ainda sabe após uma reinicialização, quais portas foram estabelecidas anteriormente?

    
por Houman 05.12.2017 / 20:15

2 respostas

3

O tráfego de saída para a instância do MySQL RDS é permitido, a menos que seja explicitamente negado em uma regra de saída.

    
por 05.12.2017 / 21:28
0

É comum que o mysql ouça em 'localhost' ou '127.0..0.1' Este endereço é geralmente atribuído ao dispositivo lo . Olhando suas regras

num   pkts bytes target     prot opt in     out     source               destination
1     193K   12M DROP       all  --  eth0   *       0.0.0.0/0            0.0.0.0/0   

Isso faz com que todos os pacotes cheguem na interface eth0.

num   pkts bytes target     prot opt in     out     source               destination
5       17  1262 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0

Isso permite que todos os pacotes cheguem na interface lo. Seu mysql está escutando em um endereço IP associado à interface lo (127.0.0.1) e, portanto, os pacotes chegam ao destino correto.

    
por 06.12.2017 / 12:24