为什么我在iptables里面没有开3306端口，我将mysql启动后，在本机也能登陆mysql进行操做

yuanbo203

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp




Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:ssh


根本就没开3306，结果在本机用mysq -h localhost -u root -p 也能登陆和操作

晨想

一般，，都允许对本机  localhost 操作的，接口叫 lo。

补充一句：  mysql 可以用  socket 连接的，不一定要用  TCP。

springwind426

一般情况下，如果服务器是localhost的话，都是使用sock模式，不是通过tcp/ip来访问

sgm277

Post by 晨想
一般，，都允许对本机  localhost 操作的，接口叫 lo。

补充一句：  mysql 可以用  socket 连接的，不一定要用  TCP。

同意，一看就知道对IPTABLES很熟。

faint

Post by sgm277
同意，一看就知道对IPTABLES很熟。

强人，这都看出来啊。

:2cool :2cool :2cool :2cool :2cool

yuanbo203

哦，谢谢以上各楼朋友
看来我要多多的去了解一下iptables了

不过我还是有些疑问：
这是我所了解的环回链路(在附件里)

我想知道的是，因为iptables是可以分析tcp包的，那么从环回链路输入的包应该进入IP层，然后进入tcp层，那么，在进入tcp层的时候，iptables就应该能把它DROP掉

怎么会因为它是环回链路的包，就不管允许它呢?
谢谢指点

当然我对你们说的socket还没什么了解，我要去查一下资料

springwind426

只有在本地传送的数据包（即数据包不通过网络接口向外发送）才使用lo接口

yuanbo203

是这样的，但是按照回环的设计

使用回环链路的包，也会经历：

TCP(输出)->IP(输出)->回环->IP(输入)->TCP(输入)

那么对于要检测TCP包的iptables来说，如果没开3306端口，那么它也会将包DROP掉？
我个人认为是这样的?望指教，谢谢

roamingo

把lo的包都LOG一下，或者tcpdump出来，或者cat /proc/net/ip_conntrack，不就知道走没有通过lo的tcp/ip了。我也觉得是sock模式的原因。

yuanbo203

哦，这到是个不错的主意，呵呵，我刚接触linux不久，思路不是很开阔，还要多向你们学习

谢谢以上各楼~~