linux centos7 开启 mysql 3306 端口 外网访问 的实践

第〇步：思路

　　3306 端口能否被外网访问，主要要考虑：

　　（1）mysql的3306 端口是否开启？是否没有更改端口号？

　　（2）mysql 是否允许3306 被外网访问？

　　（3）linux 是否已经开启了 3306 端口（通常情况下mysql能够启动就不用考虑这个）

　　（4）linux 是否对外网放行 3305

　　（5）云服务器厂商是否对3306进行了限制

　　我们用到的工具：

　　（1）nmap： 模拟外网扫描端口开启情况

　　（2）netstat： 扫描linux开启了哪些端口

　　（3）firewall：防火墙

 

第一步：检测

　　（1）nmap 外网ip

　　 当我的3306 被外网扫描不到时，它是这样显示：

Starting Nmap 6.40 ( http://nmap.org ) at 2019-06-29 10:01 CST

Nmap scan report for (外网ip)
Host is up (0.00041s latency).
Not shown: 994 filtered ports
PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp open ftp
22/tcp open ssh
80/tcp open http
888/tcp open accessbuilder
8888/tcp open sun-answerbook

　　我们看到，其中并没有 3306 端口

　　当我最终完成时，它是这样：

Starting Nmap 6.40 ( http://nmap.org ) at 2019-06-29 10:01 CST
Nmap scan report for (外网ip)
Host is up (0.00040s latency).
Not shown: 993 filtered ports
PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp open ftp
22/tcp open ssh
80/tcp open http
888/tcp open accessbuilder
3306/tcp open mysql
8888/tcp open sun-answerbook

　　大家看到，这样才算成功。

　　（2）netstat -tlunp 检测linux是否开启了3306端口

　　通查情况下，我们能够访问mysql ，3306 端口就是开启的了，我们可以用 netstat -tlunp 查看，此处我们需要关注的点是，3306 是否是设置被所有ip访问。如下  0.0.0.0:* 才是成功的，如果不是，就要去mysql配置。

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:27017 0.0.0.0:* LISTEN 17209/mongod
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 32319/mysqld
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 16798/redis-server
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 5735/nginx: master
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 26958/pure-ftpd (SE
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 3408/sshd
tcp 0 0 0.0.0.0:8888 0.0.0.0:* LISTEN 20645/python
tcp 0 0 0.0.0.0:888 0.0.0.0:* LISTEN 5735/nginx: master
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 18723/master
tcp6 0 0 :::21 :::* LISTEN 26958/pure-ftpd (SE
tcp6 0 0 ::1:25 :::* LISTEN 18723/master
udp 0 0 172.16.0.6:123 0.0.0.0:* 4849/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 4849/ntpd
udp6 0 0 fe80::5054:ff:fef5::123 :::* 4849/ntpd
udp6 0 0 ::1:123 :::* 4849/ntpd

　　（3）检测防火墙配置 firewall-cmd --list-ports

　　如果（1）的nmap通过了，就没必要检测这个了, 因为肯定是开了的。

　　当我们用（1）的nmap检测不到3306端口，（2）能够看到时，就要看是不是防火墙的锅。

　　首先重启防火墙

　　systemctl restart firewalld.service 

　　firewall-cmd --list-ports

20/tcp 21/tcp 22/tcp 80/tcp 8888/tcp 39000-40000/tcp 888/tcp

　　这个结果表示，我们的3306 端口没有开启。如果开启了，会是这样

0/tcp 21/tcp 22/tcp 80/tcp 8888/tcp 39000-40000/tcp 888/tcp 3306/tcp

　　

 

第二部分：设置

根据情况选择下列设置，当然你也可以挨个都试一下

　　（1）mysql 放行端口 （可以通过netstat -tlunp 查看，是0.0.0.0的话就对了 ）

　　打开mysql的my.cnf, 查看bind-address 选项，设为0,0.0.0 

　　（2）云服务器厂商放行端口：自动百度，比如说 阿里云 3306

　　（3）防火墙放行 

　　firewall-cmd --zone=public --add-port=3306/tcp --permanent

　　systemctl restart firewalld.service 

　　firewall-cmd --list-ports

 总之，nmap可以访问出3306，端口问题就成功了

 

第三部分：外网还是连不上mysql怎么办？

　　是不是你登陆的mysql账号不允许？

　　（1）root 登陆： mysql -u root -p 

　　（2）use mysql；

　　（3） select user，host from user；

　　（4）update user set host=‘%’ where user='账户名'

　　（5）flush privileges;