Mysql - Acesso Remoto

[Fernando Rafs]

Olá Pessoal,

 

Bom, de vez em quando aparece algum usuário que necessita utilizar o acesso remoto ao MySQL, seja para gerenciamento ou para conectar algum software qualquer.

 

Como não deixo a porta do MySQL aberta para todos no firewall, o cliente precisa nos contatar, informando o IP, para que ele possa ser adicionado no Firewall.

 

Porém, estou com um caso interessante, o cliente não quer ficar liberando IPs no firewall, ou seja quer ter acesso ao MySQL Remoto sem esta liberação de IP, sem qualquer tipo de restrição.

 

E isto eu não autorizo, porque se trata de um ambiente compartilhado.

 

Agora o cliente está querendo arrumar confusão, dizendo que em determinada hospedagem ele não tem esta restrição, etc e etc...

 

O que vocês fazem nestes casos e o que passar para o cliente, para que ele entenda definitivamente que não existe meio termo nestes casos, que se a restrição existe é para todos.

 

Valeu.

[edvan]

Olá Pessoal,

 

Bom, de vez em quando aparece algum usuário que necessita utilizar o acesso remoto ao MySQL, seja para gerenciamento ou para conectar algum software qualquer.

 

Como não deixo a porta do MySQL aberta para todos no firewall, o cliente precisa nos contatar, informando o IP, para que ele possa ser adicionado no Firewall.

 

Porém, estou com um caso interessante, o cliente não quer ficar liberando IPs no firewall, ou seja quer ter acesso ao MySQL Remoto sem esta liberação de IP, sem qualquer tipo de restrição.

 

E isto eu não autorizo, porque se trata de um ambiente compartilhado.

 

Agora o cliente está querendo arrumar confusão, dizendo que em determinada hospedagem ele não tem esta restrição, etc e etc...

 

O que vocês fazem nestes casos e o que passar para o cliente, para que ele entenda definitivamente que não existe meio termo nestes casos, que se a restrição existe é para todos.

 

Valeu.

 

Seu cliente está "certo"... muitas empresas liberam o acesso remoto via MySQL ( mediante inclusão do IP ou liberação total % via cPanel/Acesso Remoto MySQL ).

 

Mas você quem decide... informe a ele que não é possível efetuar liberação em ambiente compartilhado!

[Fernando Rafs]

Seu cliente está "certo"... muitas empresas liberam o acesso remoto via MySQL ( mediante inclusão do IP ou liberação total % via cPanel/Acesso Remoto MySQL ).

 

Mas você quem decide... informe a ele que não é possível efetuar liberação em ambiente compartilhado!

 

Edvan, aí que está, como passei anteriormente eu também libero acesso remoto, porém o IP precisa ser incluído no Firewall/cPanel.

 

O problema é que ele quer acesso remoto total, sem a necessida de liberar o IP, e isto em um ambiente compartilhado, acho arriscado deixar.

[edvan]

Edvan, aí que está, como passei anteriormente eu também libero acesso remoto, porém o IP precisa ser incluído no Firewall/cPanel.

 

O problema é que ele quer acesso remoto total, sem a necessida de liberar o IP, e isto em um ambiente compartilhado, acho arriscado deixar.

 

No caso você ( admin ) que inclui? Se for é dor de cabeça!

 

A maioria das empresas em ambiente compartilhado deixa o próprio cliente decidir ( http://clip2net.com/s/66BtVg ).

 

Ele mesmo libera o IP ou deixa para todos http://clip2net.com/s/66BujC

 

Você quem decide rpz... se acha que é correr risco, informe que não tem como e pronto. Se ele não aceitar ele procura um concorrente e pronto.

[Fernando Rafs]

No caso você ( admin ) que inclui? Se for é dor de cabeça!

 

A maioria das empresas em ambiente compartilhado deixa o próprio cliente decidir ( http://clip2net.com/s/66BtVg ).

 

Ele mesmo libera o IP ou deixa para todos http://clip2net.com/s/66BujC

 

Você quem decide rpz... se acha que é correr risco, informe que não tem como e pronto. Se ele não aceitar ele procura um concorrente e pronto.

 

Não, eu realizo a liberação no CSF apenas, no cPanel o cliente quem libera.

[joaopaulo]

Crie um forward via Iptables para a porta 3036, pondo algum número esdruxulo na mesma e deixe-a a nova porta em questão aberta.

[Fernando Rafs]

Crie um forward via Iptables para a porta 3036, pondo algum número esdruxulo na mesma e deixe-a a nova porta em questão aberta.

 

Joaopaulo você utiliza desta forma?

 

Saberia me dizer como fazer o forward, estou tentando achar algo, mas não encontro nada a respeito.

 

Valeu.

[joaopaulo]

Joaopaulo você utiliza desta forma?

 

Saberia me dizer como fazer o forward, estou tentando achar algo, mas não encontro nada a respeito.

 

Valeu.

 

Raramente, não uso no dia;a;dia.

## 
#  Requisiçao Entrada
#  Supondo que a porta de entrada seja a 61792 e o a interface de rede externa a ETH0
#
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 61792 -j REDIRECT --to-port 3306

[Fernando Rafs]

 

Raramente, não uso no dia;a;dia.

## 
#  Requisiçao Entrada
#  Supondo que a porta de entrada seja a 61792 e o a interface de rede externa a ETH0
#
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 61792 -j REDIRECT --to-port 3306

 

Joaopaulo, me desculpe pelas dúvidas, que possam parecer bobas, mas realmente tenho dúvida sobre esta questão, porque nunca a utilizei.

 

1. Pelo que entendi, após rodar este comando via SSH, abro a porta exemplo '61792' no csf Firewall, mas posso deixar a porta '3306' fechada, seria isto?

 

2. Depois o cliente apenas coloca símbolo '%' em seu cPanel, configura o seu software para se conectar pela porta 61792 e pronto?

 

3. Depois se eu quiser, tem como remover este forward facilmente?

 

4. Fazendo este forward, pode acontecer algum erro nos scripts dos clientes (PHP, Joomla, Wordpress) ou clientes que já tem os IPs liberados e utilizando a porta 3306?

 

Desculpe pelo tanto de dúvidas e obrigado pelas informação.

[joaopaulo]

1. Exato.
2. Exato.
3. Sim, basta ir no arquivo do CSF onde a regra foi posta e apaga-la.
4. Funcionará normal para todos. Inclusive outros clientes que terem o IP liberado poderão se conectar dessa forma. Mas essa é apenas uma forma um pouco mais segura de deixar a 3306 aberta geral pro mundo. Não é uma solução segura. O fato de usar uma porta de número esdruxulo implica na descoberta da mesma via port-scanner, o que é bloqueado rapidamente pelo CSF.