背景

客户扫描发现数据库3306端口存在漏洞;客户最近需要上线服务所以采取临时方法用iptables限制端口访问

如果需要禁用数据库的3306端口,iptables规则执行如下:

iptables -I INPUT -p tcp -s 数据库主节点ip --dport 3306 -j ACCEPT
iptables -I INPUT -p tcp -s 数据库从节点ip --dport 3306 -j ACCEPT
iptables -I INPUT -p tcp -s 172.17.0.0/16(dokcer 网段1) --dport 3306 -j ACCEPT
iptables -I INPUT -p tcp -s 172.18.0.0/16(docker 网段2) --dport 3306 -j ACCEPT
iptables -I INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j DROP