На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
! Правила трёх "С"
Пожалуйста,
1. Соблюдайте правила Форума.
2. Слушайте советы Модераторов.
(например, http://forum.sources.ru/index.php?act=ST&f=7&t=80382 )
3. Сверяйтесь с учебником по Великому и Могучему
  
> iptables: помогите пробросить порт , пытаюсь открыть доступ к MySQL через VPN
    Всем привет!

    Арендовал VDS на котором крутится MySQL на Debian. Настроил OpenVPN. Теперь требуется "пробросить" порт 3306 (для доступа к MySQL), чтобы vpn-клиенты имели доступ к MySQL. Сразу скажу, что есть внешний IP, но через него ставить MySQL голой попой в интернет неохота. То есть, нужно чтобы только vpn-клиенты имели доступ к MySQL.

    Толи забыл толи туплю, вот мои правила iptables:
    ExpandedWrap disabled
      # iptables -A INPUT -p tcp -m tcp -s 10.8.0.0/24 --dport 3306 -j ACCEPT
      # iptables -t nat -A PREROUTING -d 10.8.0.1 -p tcp -m tcp --dport 3306 -j DNAT --to-destination 127.0.0.1:3306


    10.8.0.1 - это vpn-адрес сервера, интерфейс tap0

    Помогите, пожалуйста :wall:
      Дык повесь мускуль не на локалхост, а на 10.8.0.1 ;) и днат окажется не нужным.
      Емнип бинд на ip в мускуле конфигурится в /etc/mysql/my.cnf
      Ну и в правилах желательно(в пределах логики фаера) указывать интерфейсы, чото типа
      ExpandedWrap disabled
        iptables -A INPUT -i tap0 -p tcp -s 10.8.0.0/24 --dport 3306 -j ACCEPT
        iptables -A INPUT -p tcp --dport 3306 -j DROP
      Сообщение отредактировано: Gonarh -
        Насколько я знаю, 127.0.0.1 запрещено куда-либо редиректить. Можно попробовать организовать через какую-нибудь проксю навроде haproxy/mysql proxy.
        Либо действительно сразу открыть порт на 10.8.0.1, кажется что в данном случае лучше и не сделать.
          задача решилась посредством прописывания в конфиге .cnf следующего:
          ExpandedWrap disabled
            bind-address = 10.8.0.1


          задача была подключиться к MySQL и iptables тут оказался не при чём :no:
            Не прошло и года :lol: , я тебе сразу сказал что делать.

            Добавлено
            Цитата bur80 @
            iptables тут оказался не при чём :no:

            А вот это зря, яб всё же ограничил список доступа к порту 3306, но это надо смотреть условия эксплуатации мускуля
              Цитата Gonarh @
              Не прошло и года :lol: , я тебе сразу сказал что делать.

              Действительно, прошло много времени. :yes: Просто я давно не заходил на форум и забыл, что не отметил вопрос как решенный. :)

              Добавлено
              Цитата Gonarh @
              А вот это зря, яб всё же ограничил список доступа к порту 3306, но это надо смотреть условия эксплуатации мускуля

              По умолчанию 3306 закрыт извне, так что всё в порядке.
              0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
              0 пользователей:


              Рейтинг@Mail.ru
              [ Script execution time: 0,0224 ]   [ 15 queries used ]   [ Generated: 28.03.24, 16:27 GMT ]