OVH Community, your new community space.

Abrir acceso MySql desde una IP


jack2
20/10/2013, 02:56
Yo lo que haría es cambiar el puerto de MySQL a otro distinto, eso le agrega seguridad para que puedas conectarte de forma remota

pepejlr
20/10/2013, 01:59
Cita Publicado inicialmente por Guille
Con esa solución tienes 2 problemas:
1.- Dejas abierto mysql a ataques de fuerza bruta o DDoS
2.- Todo el tráfico de datos entre tus dos servidores viaja sin encriptar
Mucho mejor es que establezcas un tunel ssh entre tus dos servidores y metas el trafico de mysql por ahí.
En el punto 1 si iptables solo escucha a localhost (lo) y a la IP del servidor, para el resto saldrá como cerrado (Regla DROP), no veo motivo de agravante.

Sobre el segundo estoy de acuerdo al no ser que MySQL tenga algún apaño para evitar tráfico en texto plano.

Shelmak
20/10/2013, 01:21
Realmente dicho trafico de datos me importa poco que viaje sin encriptar, es solo una base de datos con estadisticas lo que deseo compartir, no hay ningun dato comprometedor, ni claves, incluso será visible desde la pagina web.

Voy a revisar lo de IP Tables, creo que al final va a ser lo mejor y me ahorraré un disgusto.
Gracias a todos los que me estais intentando ayudar, un saludo!

suicidal
19/10/2013, 22:00
+1 a lo de guille

Guille
19/10/2013, 21:01
Con esa solución tienes 2 problemas:
1.- Dejas abierto mysql a ataques de fuerza bruta o DDoS
2.- Todo el tráfico de datos entre tus dos servidores viaja sin encriptar
Mucho mejor es que establezcas un tunel ssh entre tus dos servidores y metas el trafico de mysql por ahí.

Shelmak
19/10/2013, 20:59
Si, ya pense en cambiar la bind address y poner la de mi otro servidor, la pregunta es ¿Limitaria esto la conexión local a mysql? Es decir... localmente me denegaria las peticiones?


Y lo segundo, si deseo abrir un 3 servidor y quiero que tambien acceda a mysql con este metodo no me funcionaria, supongo que podria hacerlo como decis, con IPTables.

Bueno, probaré antes de nada a poner como bind adress la ip de mi nuevo servidor, espero que tambien escuche a la IP local, porque sinó menuda gracia, y si no funciona pues trasteare con el IP tables. Gracias!

PrototypE
19/10/2013, 18:14
Abre el bind des del my.cnf todas la ips y modifica los usuarios para que sólo acepte localhost o la ip de tu otro server.
Eso se hace fácil desde la consola, sea manualmente desde la tabla users de mysql, o bien con los sql específicos.

Debería ser sencillo y no darte muchos problemas.

maxpaynecu
19/10/2013, 17:14
Cita Publicado inicialmente por pepejlr
No se si se puede poner dos listens en el my.cnf.

Si no, lo que yo haria es poner el MySQL que escuche a todas las direcciones y en iptables limitarlo a localhost y a la IP de tu futuro servidor.
muy buenas como dice el amigo @pepejlr entrate a /etc/mysql/my.cnf y comenta la línea #bind-address = 127.0.0.1 para que deje de escuchar solo al localhost si quieres o bien comentas o especificas las ip que quiere escuche luego no olvidarse de abrir el acceso en el FW saludos

pepejlr
19/10/2013, 16:11
No se si se puede poner dos listens en el my.cnf.

Si no, lo que yo haria es poner el MySQL que escuche a todas las direcciones y en iptables limitarlo a localhost y a la IP de tu futuro servidor.

Shelmak
19/10/2013, 15:45
Hola chicos, me ha surgido un problema, resulta que en breves contrataré otro servidor, si no es aqui será en hetzner, y mi problema es que requiero que ese servidor acceda a la base de datos que está alojada en el principal. ¿El problema? Mi base de datos está bindeada a localhost unicamente.

He estado revisando por internet como hacer para permitir unicamente acceso desde localhost y esa ip, y la unica solución que he encontrado es hacerlo mediante firewall...
Queria saber si conoceis de la existencia de algun otro metodo, algo como editar la config de mysql para que "escuche" peticiones desde mi otra maquina unicamente, además de escuchar las locales, claro. Si no me queda mas remedio tendré que hacerlo mediante firewall, no pasa nada, pero es algo que no me gusta tocar.


Lo ideal seria que hubiese la posibilidad de que mysql solo aceptase conexiones desde esa ip, y todo lo demás lo rechazase.

Gracias por vuestra ayuda.