如何使用ip-tables將2個ip-address列入白名單並阻止其他所有內容？

Question

我想將兩個外部ip-adresses vor端口3306（mysql）列入白名單，但在運行mysql-instance的debian服務器上將所有其他IP地址阻塞到端口3306。外部IP地址都應該能夠連接到mysql服務器。

什麼是iptables的最佳方式？

我做了什麼：

/sbin目錄/ iptables的INPUT -A -p TCP -d 127.0.0.1 --dport 3306 -j ACCEPT

/sbin目錄/ iptables的INPUT -A - p TCP -d 1.1.1.1.1 --dport 3306 -j ACCEPT

/sbin目錄/ iptables的-A -p TCP INPUT -d 85.xxx --dport 3306 -j ACCEPT

（ 1.1.1.1是一個內部IP，在這裏屏蔽出於安全目的）

##座的所有連接到3306 ##

/sbin目錄/ iptables的INPUT -A -p根據tcp --dport 3306 -j DROP

發生了什麼事：

每一個外部IP被鎖定，無法連接

應該發生什麼：

每一個外部IP將被鎖定CAND無法連接而不是1.1.1.1，85.xxx和127.0.0.1

Answer 1

的iptables-N的mysql＃爲MySQL創建鏈
的iptables -A MySQL的--src 127.0.0.1 -j ACCEPT
的iptables -A的MySQL --src 1.1.1.1.1 -j ACCEPT
的iptables -A的MySQL --src 85.xxx -j ACCEPT
的iptables -A的MySQL -j DROP＃丟棄來自其他主機的數據包
iptables -I INPUT -m tcp -p tcp - -dport 3306 -j mysql＃使用鏈接將數據包發送到MySQL端口