Какие порты должны быть открыты в идеале?

Question

Twitt @Twitt

Какие порты должны быть открыты в идеале?

Решил посмотреть открытые порты через nmap на своем vps. Вижу, например:

3306/tcp open mysql

Вот не совсем знаю, должен ли быть открыт порт mysql.
Потому что, например, тем же nmap я посылаю запрос на другой сервер, и там mysql вообще не показывается в списке портов (хотя на том сервере он есть). Там показываются только открытые порты 80 и 443.
Собственно вопрос: какие порты должны быть открыты в идеале? если я закрою порт mysql, я смогу подключаться к нему только из своей VPS? Со своего айпи адреса я уже не смогу подключиться к бд, правильно понимаю?

Вопрос задан более трёх лет назад
2179 просмотров

1 комментарий

Подписаться 1 Простой 1 комментарий

Karpion @Karpion
Есть три варианта для каждого сервиса, работающего на сервере:
Сервис д.б. доступен только для программ, работающих на этом же сервере. Этот сервис должен слушать только IP-адрес localhost 127.0.0.1, а его порт лучше закрыть от внешнего доступа.
Сервис д.б. доступен с некоторых машин снаружи, для остальных этого не нужно. Этот сервис должен слушать внешний IP-адрес, а доступ со списка IP-адресов следует ограничить средствами и сервиса, и firewall'а.
Либо, ещё лучше - давать доступ через VPN/SSh-туннель. Сервис должен слушать IP-адрес, выделенный туннелю.
Сервис д.б. доступен отовсюду (обычно - Web-сервер; реже - FTP-сервер). Тогда сервис должен слушать внешний адрес, а порт д.б. открыт для всех.
Зачем Вам там mysql, какие у Вас на него планы - я не знаю. Как правило, он работает по первой схеме; изредка - по второй (то про "со своего айпи адреса {..} подключиться к бд"); и практически никогда - по третьей.
Написано более трёх лет назад

Решения вопроса 2

2 комментария

3 комментария

Twitt @Twitt Автор вопроса

3306 нужен для удалённого управления базами данных, если не используете какой-нибудь MySQL Workbench или phpMyAdmin, запущенное на другом узле, то 3306 можно закрыть.

Я подключаюсь со своей локальной машины (так скажем через MySQL Workbench). Если я закрою сейчас порт mysql, то подключаться со своей локальной машины так я уже не смогу, верно? придется подключаться на vps и уже там играться с базой, верно?

Написано более трёх лет назад
Роман Молчанов @Dobryak88

Twitt, верно

Написано более трёх лет назад
xmoonlight @xmoonlight

Twitt, для этого существует SSH. Вы можете прокинуть порт на свой ПК, на котором работаете и подключаться из софта уже к своему локальному (замэпленному) произвольному порту.
Кратко, схемка:
ваш_сервер: localhost:3306 -> SSH-tunnel:SRC -> INET -> SSH-tunnel:DST -> LISTENER: 127.0.0.1:произвольный_порт (на него будете подключаться, после установки SSH-туннеля)

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Компьютерные сети

+2 ещё

Средний
Как настроить ACL между vlan, чтобы был полный доступ с одного vlan, с другого нет?
- 1 подписчик
- 9 часов назад
- 37 просмотров
2

ответа
Linux

+1 ещё

Простой
Как сделать автоматическую проверку работоспособности и рестарт Apache и Mariadb в случае падения?
- 1 подписчик
- вчера
- 94 просмотра
2

ответа
Windows

+1 ещё

Средний
Как открыть экранную клавиатуру в режиме киоска?
- 1 подписчик
- 15 апр.
- 144 просмотра
1

ответ
Системное администрирование

+1 ещё

Простой
Какое можно использовать клиент-серверное приложение видеоконференции p2p?
- 1 подписчик
- 15 апр.
- 62 просмотра
1

ответ
Системное администрирование

+1 ещё

Простой
На каком виртуальном сервере процессор мощнее?
- 1 подписчик
- 14 апр.
- 184 просмотра
2

ответа
Windows

+1 ещё

Простой
Как настроить Windows под гостевой компьютер общего пользования?
- 3 подписчика
- 12 апр.
- 915 просмотров
5

ответов
Системное администрирование

+1 ещё

Простой
Есть централизованный Касперский, как блокировать определенные приложения?
- 1 подписчик
- 12 апр.
- 114 просмотров
3

ответа
Системное администрирование

+1 ещё

Средний
Как называется плата которая ставится между карт ридером и смарт картой, для логирования данных?
- 1 подписчик
- 11 апр.
- 114 просмотров
1

ответ
Системное администрирование

Простой
Заразятся ли 2 раздела диска если на один из разделов попадёт вирус?
- 1 подписчик
- 11 апр.
- 135 просмотров
4

ответа
Linux

+2 ещё

Простой
Не запускается приложение в Astra Linux под учётной записью MS AD?
- 1 подписчик
- 10 апр.
- 166 просмотров
3

ответа
Показать ещё Загружается…

Инженер по системному администрированию

Деловая среда от Сбербанка • Москва

До 209 000 ₽

Системный администратор (инженер) 🚀

Хабр • Москва

от 140 000 ₽

Системный администратор

Глобал Смарт Системс • Санкт-Петербург

от 100 000 до 120 000 ₽

Взлом автомобильной программы

19 апр. 2024, в 05:01

999999 руб./за проект

Доработать телеграм бота

19 апр. 2024, в 03:52

1000 руб./за проект

Написать код на python

19 апр. 2024, в 03:01

1000 руб./за проект

Есть три варианта для каждого сервиса, работающего на сервере:
Сервис д.б. доступен только для программ, работающих на этом же сервере. Этот сервис должен слушать только IP-адрес localhost 127.0.0.1, а его порт лучше закрыть от внешнего доступа.
Сервис д.б. доступен с некоторых машин снаружи, для остальных этого не нужно. Этот сервис должен слушать внешний IP-адрес, а доступ со списка IP-адресов следует ограничить средствами и сервиса, и firewall'а.
Либо, ещё лучше - давать доступ через VPN/SSh-туннель. Сервис должен слушать IP-адрес, выделенный туннелю.
Сервис д.б. доступен отовсюду (обычно - Web-сервер; реже - FTP-сервер). Тогда сервис должен слушать внешний адрес, а порт д.б. открыт для всех.
Зачем Вам там mysql, какие у Вас на него планы - я не знаю. Как правило, он работает по первой схеме; изредка - по второй (то про "со своего айпи адреса {..} подключиться к бд"); и практически никогда - по третьей.

Answer 1 · 2019-11-16 17:16:41

Во вне - не должен!
Закройте биндовку на внешний интерфейс!
Оставьте биндовку только на "локальную петлю" (localloop) интерфейс: localhost/127.0.01

Answer 2 · 2019-11-16 17:22:27

Какие порты открывать, а какие нет - зависит от того, что запущено на сервере и как Вы к нему подключаетесь.
Если это веб-сайт на линуксе с доступом по ssh, то очевидно нужны порты http/https и ssh (80/443, 22 по дефолту).
Если к серверу подключение происходит только через консоль хостинга, то 22 порт тоже скорее всего не нужен.
3306 нужен для удалённого управления базами данных, если не используете какой-нибудь MySQL Workbench или phpMyAdmin, запущенное на другом узле, то 3306 можно закрыть.

Answer 3 · 2019-11-16 19:11:32

Вот не совсем знаю, должен ли быть открыт порт mysql.

Наружу - не должен. Наружу должны торчать только порты, которые обслуживают сервисы, работающие на данногм сервере.

Answer 4 · 2019-11-17 04:24:40

Какие порты должны быть открыты в идеале?

Все, которые вам нужны, и закрыты все которые вам не нужны.

Вот не совсем знаю, должен ли быть открыт порт mysql

Значит у вас явно не хватает квалификации для настройки файервола. Эту задачу должен выполнять системный администратор.

Какие порты должны быть открыты в идеале?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт