Problemas encaminhando a porta 3306 no iptables com o CentOS

1
Estou tentando adicionar um encaminhamento para o servidor mysql em 200.58.126.52 para permitir o acesso a partir de 200.58.125.39, e estou usando as seguintes regras (é todo o meu iptables do VPS da minha hospedagem). Eu posso conectar localmente no servidor que contém o serviço mysql como localhost, mas não de fora.

Alguém pode verificar se as regras a seguir estão bem? Obrigado

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s 200.58.125.39 --dport 3306 -j ACCEPT
-A INPUT -p tcp -s 200.58.125.39 --sport 1024:65535 -d localhost --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -s localhost --sport 3306 -d 200.58.125.39 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
COMMIT

E esta é a saída do teste de conexão.

[root @ qwhosti / home / qwhosti / public_html / admin / config] # mysql -u user_db -p -h 200.58.126.52 Digite a senha: ERRO 2003 (HY000): Não é possível conectar-se ao servidor MySQL em '200.58.126.52' (113)

    
por BoDiE2003 08.03.2011 / 15:23

1 resposta

2

Adicione sua nova regra à regra RH-Firewall-1-INPUT BEFORE the -j REJECT . As regras são lidas de cima para baixo, a primeira que corresponde é aplicada; já que não há um especificador na regra REJECT , suas conexões recebidas recebem REJECT ed antes de poderem ser encaminhadas.

    
por 08.03.2011 / 16:36