- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Вы понимаете, что такое "слушать"? Слушать он может только на собственных ip-адресах. И если он "слушает", то отвечает на запросы, которые приходят на эти адреса. ("слушать" в данном понимании можно не кого-то, а чем-то. Вы же не можете слушать чужим ухом, а можете только своим :) Только здесь сервер может слушать на своих ip-адресах)
Если всё так, как вы пишете, то вы ошиблись про 127.0.0.1, т.к. снаружи получить доступ к сервисам, которые находятся на этом адресе, невозможно.
Чтобы работало внутри сервера используйте skip-networking. Это самый верный способ. Запросы никто обрабатывать не будет и он станет работать как раз на 127.0.0.1, как вы и писали.А так - вы используете фаервол, который через себя пропускает коннекты и блокирует.
Идеологически вернее вообще перестать слушать внешние ip.
skip-networking отключает возможность коннекта к серверу по tcp, в том числе и на 127.0.0.1. в этом случае коннекты происходят через unix-сокет или именованный канал (для винды).
Чтобы работало внутри сервера используйте skip-networking. Это самый верный способ. Запросы никто обрабатывать не будет и он станет работать как раз на 127.0.0.1, как вы и писали.
Меня в детсадике учили, что skip-networking полностью отключает TCP-интерфейс, оставляя только сокет. А в данном случае нужна строчка
"bind-address = 127.0.0.1"
Приятно читать такие топики в пятницу вечером! Сразу себя таким умным ощущаю :)
На нем стоит mysql сервер. Он случает 127.0.0.1 но к нему возможно подключаться из вне.
Налицо противоречие.
Вам категорически следует определиться что сервер "слушает". И уже после этого сконфигурировать его так, чтобы слушал только нужное. Файервол совсем для другого.
смысл сея поста было закрыть 3306 порт на ружу, то есть что бы с наружи порт 3306 был вообще закрыт для любого коннекта
Вы русский язык подучите, пожалуйста.
"Наружу" и "снаружи" - противоположные по смыслу слова. Если вам нужно заблокировать порт 3306 для доступа извне - zexis вам написал половину ответа. Вторая половина:
iptables -A INPUT -p udp --dport 3306 -j DROP
Меня в детсадике учили, что skip-networking полностью отключает TCP-интерфейс, оставляя только сокет. А в данном случае нужна строчка
"bind-address = 127.0.0.1"
А вот не обязательно это нужно. В группе продленного дня рассказывали, что библиотека mysql как только видит имя сервера "localhost", то пытается подключиться через unix-сокет. То есть вполне нормально будет сделать skip-networking. И так даже лучше будет - обмен данными через unix-сокет быстрее, чем задействовать сложный стек tcp/ip пусть даже его часть для локального обмена.
iptables -A INPUT -p udp --dport 3306 -j DROP
Непонятно, что именно имел ввиду Единственный Непогрешимый Одминистратор раздела, но точно получилась фигня. не использует mysql udp по крайней мере для обычных клиентских подключений на порт 3306.
В группе продленного дня рассказывали, что библиотека mysql как только видит имя сервера "localhost", то пытается подключиться через unix-сокет.
Да, это не секрет. Но я отвечал на такое высказывание:
используйте skip-networking...
...и он станет работать как раз на 127.0.0.1
А вот не обязательно это нужно. В группе продленного дня рассказывали, что библиотека mysql как только видит имя сервера "localhost", то пытается подключиться через unix-сокет. То есть вполне нормально будет сделать skip-networking.
Вы телепат и знаете что написано в качестве реквизитов доступа в каждом скрипте ТС?
Непонятно, что именно имел ввиду Единственный Непогрешимый Одминистратор раздела, но точно получилась фигня. не использует mysql udp по крайней мере для обычных клиентских подключений на порт 3306.
Зато другие приложения - могут и использовать. Напоминаю, задача ставилась: закрыть доступ к порту (снаружи).
Вы телепат и знаете что написано в качестве реквизитов доступа в каждом скрипте ТС?
Можете и так называть качественную техническую поддержку
Вполне нормально давать ответ не на то, что написано, а на то что клиенту на самом деле надо.
Мало кто прописывает в скрипты "127.0.0.1" (кто это мог порекомендовать вообще? смысла то нет) и уж совсем с маленькой вероятностью ТС повесил на порт udp 3306 какую-то другую программу, к которой он хотел закрыть доступ.
Правильнее было бы сделать:
в my.cnf написать skip-networking
что бы mysql не использовал tcp/ip, а вместо него unix сокет
в скриптах коннекты к mysql делать
$ids = mysql_connect('localhost','user','pass');
Правила закрывающие порт 3306 из iptables убрать, так как необходимости в них нет.
К unix сокету можно подключаться только локально.