悠悠楠杉
网站页面
MySQL启动命令与防火墙配合设置方法
12/14
三、Linux防火墙机制简介
Linux系统常用的防火墙工具有两种:firewalld(较新系统)和iptables(传统工具)。CentOS 7及以上版本默认使用firewalld,而旧版本或某些定制系统可能仍使用iptables。
使用 firewalld 配置防火墙
若系统使用firewalld,首先确认其运行状态:
bash
sudo systemctl status firewalld
若未运行,需先启动并启用:
bash
sudo systemctl start firewalld
sudo systemctl enable firewalld
接下来,开放MySQL的3306端口:
bash
sudo firewall-cmd --permanent --add-port=3306/tcp
--permanent参数表示永久生效,否则重启后规则会丢失。执行完成后,重新加载防火墙配置:
bash
sudo firewall-cmd --reload
可通过以下命令查看当前开放的端口:
bash
sudo firewall-cmd --list-ports
若想限制仅特定IP访问MySQL,可使用富规则(rich rules):
bash
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="3306" accept'
使用 iptables 配置防火墙
若系统使用iptables,可通过以下命令开放3306端口:
bash
sudo iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
若需限制来源IP:
bash
sudo iptables -A INPUT -p tcp -s 192.168.1.100 --dport 3306 -j ACCEPT
保存规则以确保重启后不失效(具体命令依发行版而异):
bash
sudo service iptables save # CentOS 6 及以前
或导出规则文件:
bash
sudo iptables-save > /etc/iptables/rules.v4
四、安全建议与最佳实践
虽然开放端口能让外部连接MySQL,但也带来了安全风险。建议采取以下措施:
- 避免直接暴露MySQL到公网:尽量通过SSH隧道或VPN访问数据库。
- 使用强密码策略:确保MySQL的root账户和其他用户使用高强度密码。
- 限制远程登录权限:在MySQL中,不要轻易授予
'%'主机的访问权限,应明确指定可信IP。 - 定期更新系统与MySQL版本:及时修复已知漏洞。
五、总结
MySQL的启动与防火墙配置是服务器部署中不可分割的两个环节。仅仅启动服务并不足以实现远程访问,必须结合防火墙规则放行相应端口。无论是使用firewalld还是iptables,关键在于理解流量控制逻辑,并在开放服务的同时兼顾安全性。掌握这些基本技能,不仅能解决连接问题,更能提升整体系统的稳定性与防护能力。
