应先放行本地回环-A INPUT -s 127.0.0.1 -p tcp --dport 3306 -j ACCEPT再拒绝外部访问-A INPUT -p tcp --dport 3306 ! -s 127.0.0.1 -j DROP并配合安全组与 bind-address 协同防护。iptables 怎么封掉 MySQL 默认端口3306直接封 3306 是最常见也最容易出问题的操作——封错方向或漏掉本地回环会导致 MySQL 自己连不上自己。mysqld 启动时会尝试连接本地 127.0.0.1:3306 做初始化检查如果 iptables 把 INPUT 链里所有 3306 都 DROP服务根本起不来。实操建议优先用 -A INPUT -s 127.0.0.1 -p tcp --dport 3306 -j ACCEPT 放行本地回环再加拒绝规则封外部访问时用 -A INPUT -p tcp --dport 3306 ! -s 127.0.0.1 -j DROP注意 ! 前后有空格别用 REJECT改用 DROP避免暴露服务器运行了 MySQLREJECT 会发 RST 包扫端口时一眼识别规则顺序很重要iptables 自上而下匹配放行规则必须写在拒绝规则之前云服务器安全组 vs iptables哪个该优先配云厂商阿里云、腾讯云、AWS的安全组是网络层的第一道过滤比系统内 iptables 更早生效。如果安全组已经禁止了 3306 入向iptables 再怎么配都收不到包——但反过来如果安全组开了 3306iptables 就必须兜底。实操建议生产环境必须双层控制安全组只放行可信 IP 段如运维跳板机、应用服务器内网段iptables 做二次校验别依赖单一防护安全组配置可能被误操作清空iptables 规则重启不失效若已保存查安全组是否生效用 telnet 公网IP 3306 从外网测查 iptables 是否生效用 curl -v telnet://127.0.0.1:3306 或本地 nc 测MySQL 绑定地址bind-address和防火墙的关系bind-address 配置决定 MySQL 监听哪些网卡它和防火墙不是互斥关系而是协同失效点。比如设成 127.0.0.1 后MySQL 根本不监听公网网卡iptables 就算没规则外网也连不上——但很多人误以为“这样就安全了”其实只要改一行配置就能暴露。 通义听悟 阿里云通义听悟是聚焦音视频内容的工作学习AI助手依托大模型帮助用户记录、整理和分析音视频内容体验用大模型做音视频笔记、整理会议记录。