Por padrão, o MySQL usa a porta 3306. Se esta porta estiver bloqueada, as conexões não podem ser feitas. No entanto, seu VPS poderia conectar-se a uma máquina remota (cuja porta 3306 está aberta), se você tiver uma regra de firewall que permita tráfego de e para uma máquina remota para a qual seu VPS iniciou e estabeleceu comunicações:
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Mais informações: aqui .
É um pouco impraticável o IMO se bloquear fechando a porta ssh, mas é claro, essa é uma preferência pessoal se você conseguir acessar a máquina via KVM. Se você estiver preocupado, você pode sempre mover a porta do daemon sshd no padrão 22 para qualquer lugar onde você tenha uma porta livre (digamos 32722). Dessa forma, se um invasor verificar a porta 22, ela será fechada e não oferecerá serviços ssh. O invasor teria que fazer uma varredura porta a porta para detectar que os serviços ssh foram oferecidos em 32722, e a maioria dos invasores não está disposta a gastar esse tipo de tempo quando eles têm alvos mais fáceis de responder em 22.