На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Поиск Участники Календарь Избранное RSS
msm.ru
! Правила трёх "С"
Пожалуйста,
1. Соблюдайте правила Форума.
2. Слушайте советы Модераторов.
(например, http://forum.sources.ru/index.php?act=ST&f=7&t=80382 )
3. Сверяйтесь с учебником по Великому и Могучему
  
> iptables: помогите пробросить порт , пытаюсь открыть доступ к MySQL через VPN
bur80
   Сообщ. #1 ,
    Profi
    *****
    Профиль · PM
    Поощрения: 1 Dgm
    Рейтинг (т): 9
    Всем привет!

    Арендовал VDS на котором крутится MySQL на Debian. Настроил OpenVPN. Теперь требуется "пробросить" порт 3306 (для доступа к MySQL), чтобы vpn-клиенты имели доступ к MySQL. Сразу скажу, что есть внешний IP, но через него ставить MySQL голой попой в интернет неохота. То есть, нужно чтобы только vpn-клиенты имели доступ к MySQL.

    Толи забыл толи туплю, вот мои правила iptables:
    ExpandedWrap disabled
      # iptables -A INPUT -p tcp -m tcp -s 10.8.0.0/24 --dport 3306 -j ACCEPT
      # iptables -t nat -A PREROUTING -d 10.8.0.1 -p tcp -m tcp --dport 3306 -j DNAT --to-destination 127.0.0.1:3306


    10.8.0.1 - это vpn-адрес сервера, интерфейс tap0

    Помогите, пожалуйста :wall:
    Gonarh
    Сообщ. #2 ,
      Full Member
      ***
      Профиль · PM
      Рейтинг (т): 30
      Дык повесь мускуль не на локалхост, а на 10.8.0.1 ;) и днат окажется не нужным.
      Емнип бинд на ip в мускуле конфигурится в /etc/mysql/my.cnf
      Ну и в правилах желательно(в пределах логики фаера) указывать интерфейсы, чото типа
      ExpandedWrap disabled
        iptables -A INPUT -i tap0 -p tcp -s 10.8.0.0/24 --dport 3306 -j ACCEPT
        iptables -A INPUT -p tcp --dport 3306 -j DROP
      Сообщение отредактировано: Gonarh -
      Master negram
      Сообщ. #3 ,
        Master
        ******
        Профиль · PM
        Насколько я знаю, 127.0.0.1 запрещено куда-либо редиректить. Можно попробовать организовать через какую-нибудь проксю навроде haproxy/mysql proxy.
        Либо действительно сразу открыть порт на 10.8.0.1, кажется что в данном случае лучше и не сделать.
        bur80
        Сообщ. #4 ,
          Profi
          *****
          Профиль · PM
          Поощрения: 1 Dgm
          Рейтинг (т): 9
          задача решилась посредством прописывания в конфиге .cnf следующего:
          ExpandedWrap disabled
            bind-address = 10.8.0.1


          задача была подключиться к MySQL и iptables тут оказался не при чём :no:
          Gonarh
          Сообщ. #5 ,
            Full Member
            ***
            Профиль · PM
            Рейтинг (т): 30
            Не прошло и года :lol: , я тебе сразу сказал что делать.

            Добавлено
            Цитата bur80 @
            iptables тут оказался не при чём :no:

            А вот это зря, яб всё же ограничил список доступа к порту 3306, но это надо смотреть условия эксплуатации мускуля
            bur80
            Сообщ. #6 ,
              Profi
              *****
              Профиль · PM
              Поощрения: 1 Dgm
              Рейтинг (т): 9
              Цитата Gonarh @
              Не прошло и года :lol: , я тебе сразу сказал что делать.

              Действительно, прошло много времени. :yes: Просто я давно не заходил на форум и забыл, что не отметил вопрос как решенный. :)

              Добавлено
              Цитата Gonarh @
              А вот это зря, яб всё же ограничил список доступа к порту 3306, но это надо смотреть условия эксплуатации мускуля

              По умолчанию 3306 закрыт извне, так что всё в порядке.
              1 пользователей читают эту тему (1 гостей и 0 скрытых пользователей)
              0 пользователей:


              Рейтинг@Mail.ru
              [ Script execution time: 0,0952 ]   [ 14 queries used ]   [ Generated: 5.07.25, 06:41 GMT ]  
              Powered by Invision Power Board(U) v1.2 © 2003  IPS, Inc.