Proteger el servidor de base de datos con IPTables

Tengo mi aplicación (WordPress) y mi base de datos (MySQL) en servidores separados; están conectados a una red privada proporcionada por el proveedor de servicios de alojamiento y he tomadotodos los pasos preliminares(que yo sepa) por seguridad.

Normalmente, sigo estas reglas de IPTables:

*filter

#  Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT

#  Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#  Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

#  Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT

#  Allow SSH connections
#
#  The -dport number should be the same port number you set in sshd_config
#
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

#  Allow ping
-A INPUT -p icmp -j ACCEPT

#  Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

#  Drop all other inbound - default deny unless explicitly allowed policy
-A INPUT -j DROP
-A FORWARD -j DROP

COMMIT

Pero para mi servidor de base de datos independiente (MySQL), veo que las reglas necesitan algunos cambios. Por ejemplo, necesito abrir el puerto 3306 para MySQL, que sería tan simple como:

-A INPUT -p tcp --dport 443 -j ACCEPT

Excepto que no sé cómo modificarlo para que solo el servidor de aplicaciones pueda conectarse a la base de datos (es decir, para que admita una conexión remota). Entonces, ¿cómo lo hago?