linux centos7 开启 mysql 3306 端口 外网访问 的实践
第〇步:思路
3306 端口能否被外网访问,主要要考虑:
(1)mysql的3306 端口是否开启?是否没有更改端口号?
(2)mysql 是否允许3306 被外网访问?
(3)linux 是否已经开启了 3306 端口(通常情况下mysql能够启动就不用考虑这个)
(4)linux 是否对外网放行 3305
(5)云服务器厂商是否对3306进行了限制
我们用到的工具:
(1)nmap: 模拟外网扫描端口开启情况
(2)netstat: 扫描linux开启了哪些端口
(3)firewall:防火墙
第一步:检测
(1)nmap 外网ip
当我的3306 被外网扫描不到时,它是这样显示:
Starting Nmap 6.40 ( http://nmap.org ) at 2019-06-29 10:01 CST
Nmap scan report for (外网ip)
Host is up (0.00041s latency).
Not shown: 994 filtered ports
PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp open ftp
22/tcp open ssh
80/tcp open http
888/tcp open accessbuilder
8888/tcp open sun-answerbook
我们看到,其中并没有 3306 端口
当我最终完成时,它是这样:
Starting Nmap 6.40 ( http://nmap.org ) at 2019-06-29 10:01 CST
Nmap scan report for (外网ip)
Host is up (0.00040s latency).
Not shown: 993 filtered ports
PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp open ftp
22/tcp open ssh
80/tcp open http
888/tcp open accessbuilder
3306/tcp open mysql
8888/tcp open sun-answerbook
大家看到,这样才算成功。
(2)netstat -tlunp 检测linux是否开启了3306端口
通查情况下,我们能够访问mysql ,3306 端口就是开启的了,我们可以用 netstat -tlunp 查看,此处我们需要关注的点是,3306 是否是设置被所有ip访问。如下 0.0.0.0:* 才是成功的,如果不是,就要去mysql配置。
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:27017 0.0.0.0:* LISTEN 17209/mongod
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 32319/mysqld
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 16798/redis-server
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 5735/nginx: master
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 26958/pure-ftpd (SE
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 3408/sshd
tcp 0 0 0.0.0.0:8888 0.0.0.0:* LISTEN 20645/python
tcp 0 0 0.0.0.0:888 0.0.0.0:* LISTEN 5735/nginx: master
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 18723/master
tcp6 0 0 :::21 :::* LISTEN 26958/pure-ftpd (SE
tcp6 0 0 ::1:25 :::* LISTEN 18723/master
udp 0 0 172.16.0.6:123 0.0.0.0:* 4849/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 4849/ntpd
udp6 0 0 fe80::5054:ff:fef5::123 :::* 4849/ntpd
udp6 0 0 ::1:123 :::* 4849/ntpd
(3)检测防火墙配置 firewall-cmd --list-ports
如果(1)的nmap通过了,就没必要检测这个了, 因为肯定是开了的。
当我们用(1)的nmap检测不到3306端口,(2)能够看到时,就要看是不是防火墙的锅。
首先重启防火墙
systemctl restart firewalld.service
firewall-cmd --list-ports
20/tcp 21/tcp 22/tcp 80/tcp 8888/tcp 39000-40000/tcp 888/tcp
这个结果表示,我们的3306 端口没有开启。如果开启了,会是这样
0/tcp 21/tcp 22/tcp 80/tcp 8888/tcp 39000-40000/tcp 888/tcp 3306/tcp
第二部分:设置
根据情况选择下列设置,当然你也可以挨个都试一下
(1)mysql 放行端口 (可以通过netstat -tlunp 查看,是0.0.0.0的话就对了 )
打开mysql的my.cnf, 查看bind-address 选项,设为0,0.0.0
(2)云服务器厂商放行端口:自动百度,比如说 阿里云 3306
(3)防火墙放行
firewall-cmd --zone=public --add-port=3306/tcp --permanent
systemctl restart firewalld.service
firewall-cmd --list-ports
总之,nmap可以访问出3306,端口问题就成功了
第三部分:外网还是连不上mysql怎么办?
是不是你登陆的mysql账号不允许?
(1)root 登陆: mysql -u root -p
(2)use mysql;
(3) select user,host from user;
(4)update user set host=‘%’ where user='账户名'
(5)flush privileges;