Tengo esta lista de reglas de iptable
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 127.0.0.1 0.0.0.0/0 tcp dpt:3306
acctboth all -- 0.0.0.0/0 0.0.0.0/0
VZ_INPUT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306
ACCEPT tcp -- 94.101.25.40 0.0.0.0/0 state NEW tcp dpt:3306
Chain FORWARD (policy DROP)
target prot opt source destination
VZ_FORWARD all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy DROP)
target prot opt source destination
acctboth all -- 0.0.0.0/0 0.0.0.0/0
VZ_OUTPUT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 94.101.25.40 0.0.0.0/0 state NEW tcp dpt:3306
Solo quiero que localhost y mi ip accedan a tcp 3306. ¿Puedo eliminar todas las demás reglas como se muestra arriba? No sé si tengo que quedarme con alguno de ellos o no.
Respuesta1
Bandmin coloca allí automáticamente ambos objetivos. Si lo eliminas, probablemente volverá. Puede desactivar bandmin con 'chkconfig bandmin off', pero en realidad no hace nada más que contar paquetes.
VZ_INPUT parece un paquete de firewall con el que no estoy familiarizado.
Aparte de eso, parece que tienes tres entradas que aceptantodotráfico para el puerto 3306, y uno que solo permite nuevas conexiones desde lo que supongo es tu ip.
Le sugiero que elimine esas últimas 4 reglas en INPUT y las reemplace de la siguiente manera:
iptables -A INPUT -p tcp --dport 3306 -s 94.101.25.40 -j ACCEPT
iptables -A INPUT -p tcp -i l0 --dport 3306 -j ACCEPT
Tener una política de SALIDA de DROP es un poco complicado y puede estropear un montón de cosas, así que si yo fuera usted, la cambiaría a ACEPTAR:
iptables -p OUTPUT ACCEPT
Si insistes en mantener lo que tienes como está, sólo estás permitiendo quenuevoConexiones SQL desactivadas, así que elimine la regla y agregue:
iptables -A OUTPUT -p tcp -s 94.101.25.40 --sport 3306 -j ACCEPT
iptables -A OUTPUT -p tcp -i l0 -sport 3306 -j ACCEPT
Esto supone que 94.101.25.40 es una de las direcciones IP propias de la máquina, no una IP remota.
¿Cómo accedes a tu servidor? A menos que una de sus otras cadenas lo tenga, ni siquiera veo una regla que permita el tráfico SSH aquí. Realmente deberías publicar tu salida completa de iptables -L. Lo más probable es que la única razón por la que aún puedas acceder a tu caja sea por las reglas de esas otras cadenas.
Si vuelve a publicar, utilice iptables -L -v. Esto agrega información adicional útil, como en qué interfaz opera la regla.