人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

FedoraCore2でiptablesを使い、特定のポートを閉じる方法を教えてください。

具体的にはmysqlサービスを止めず、
3306ポートだけ閉じようと考えています。

tcp/ipパケットでのmysqlへのアクセスだけはじき、unix内部での通信でのみmysqlにアクセスできるようにしたいです。

●質問者: kunitz
●カテゴリ:コンピュータ
✍キーワード:iptables MySQL TCP/IP UNIX アクセス
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● typista
●25ポイント

http://www.mysql.gr.jp/mysqlml/mysql/msg/6786

mysql:6786

サーバ内部のみのアクセスを許可するのであれば、mysqldの起動オプションでも可能です。

http://vine-web.no-ip.com/iptables.html

どうしてもiptablesを使いたいということであれば、上記URLで、

「STEP01 IPchainsの停止」→「STEP02 IPtablesの基本ポリシーを設定」→ ・・・

を順番に見ていってください。

セキュリティ的には、全ポートを閉じた状態(デフォルト)から、必要なポートのみを開けていくのが良いです。

ので、kunitz さんの環境でweb、smtp、popサーバ等を外部公開しているのであれば、それらを開けます。(3306を閉じるというよりは、開けないということですね)


プライベートネットワークからのアクセスが必要であれば、

「Webmin(10000ポート) /同一ネットワーク内からの接続を許可」

を参考に、10000ポート→3306ポートと読み替えてください。

→ これはMySQLサーバとApache(ほかにはTomcatなど)が別サーバとして本格的に分散している場合です。同一サーバだけであればmysqldの起動オプションだけでも充分かと。

◎質問者からの返答

ありがとうございます!

my.cnf の[mysqld] セクション内に

skip-networking


2 ● nomocho
●25ポイント

http://www.linux.or.jp/JM/html/iptables/man8/iptables.8.html

Manpage of IPTABLES

要点のみに絞りますが

・基本的に全てのインバウンドパケットを受け付け

# iptables -P INPUT ACCEPT

・TCPのポート3306宛のパケットをドロップ

# iptables -A INPUT -p tcp --dport 3306 -j DROP

上記2つのコマンドで期待している効果が得られると思います。

http://www.linux.or.jp/JM/html/iptables/man8/iptables-save.8.htm...

Manpage of IPTABLES-SAVE

再起動時にこのルールがきちんと定義されるよう、保存しておいて下さい。

◎質問者からの返答

ありがとうございます!

おぉ

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ