iptables: помогите пробросить порт, пытаюсь открыть доступ к MySQL через VPN

[bur80]

Всем привет!

Арендовал VDS на котором крутится MySQL на Debian. Настроил OpenVPN. Теперь требуется "пробросить" порт 3306 (для доступа к MySQL), чтобы vpn-клиенты имели доступ к MySQL. Сразу скажу, что есть внешний IP, но через него ставить MySQL голой попой в интернет неохота. То есть, нужно чтобы только vpn-клиенты имели доступ к MySQL.

Толи забыл толи туплю, вот мои правила iptables:

# iptables -A INPUT -p tcp -m tcp -s 10.8.0.0/24 --dport 3306 -j ACCEPT
# iptables -t nat -A PREROUTING -d 10.8.0.1 -p tcp -m tcp --dport 3306 -j DNAT --to-destination 127.0.0.1:3306

10.8.0.1 - это vpn-адрес сервера, интерфейс tap0

Помогите, пожалуйста

[Gonarh]

Дык повесь мускуль не на локалхост, а на 10.8.0.1 и днат окажется не нужным.
Емнип бинд на ip в мускуле конфигурится в /etc/mysql/my.cnf
Ну и в правилах желательно(в пределах логики фаера) указывать интерфейсы, чото типа

iptables -A INPUT -i tap0 -p tcp -s 10.8.0.0/24 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j DROP

Сообщение отредактировано: Gonarh - 26.08.19, 09:08

[negram]

Насколько я знаю, 127.0.0.1 запрещено куда-либо редиректить. Можно попробовать организовать через какую-нибудь проксю навроде haproxy/mysql proxy.
Либо действительно сразу открыть порт на 10.8.0.1, кажется что в данном случае лучше и не сделать.