MySQL远程连接失败?先查bind-address和防火墙配置!
- 内容介绍
- 文章标签
- 相关推荐
本文共计1012个文字,预计阅读时间需要5分钟。
默认安装的MySQL通常只监听本地回环地址,远程客户端端发来的TCP请求无法直接进入,连接阶段都过不去。这不是密码错误或用户没有授权的问题,而是压力根没有在监听那个网卡的地址。
检查方式:grep bind-address /etc/mysql/mysql.conf.d/mysqld.cnf(Debian/Ubuntu)或 /etc/my.cnf(CentOS)。常见错误值是 bind-address = 127.0.0.1 或直接注释掉这行(某些版本默认即为 127.0.0.1)。
- 要允许远程连接,改成
bind-address = 0.0.0.0(监听所有 IPv4 接口),或指定具体内网 IP(如192.168.1.100)更安全 - 改完必须重启服务:
sudo systemctl restart mysql(或mysqld) - 注意:MySQL 8.0+ 默认禁用
skip-networking,但若配置里显式写了它,必须删掉,否则bind-address无效
用户权限不足:CREATE USER 和 GRANT 必须配对使用
即使端口通了、bind 地址放开了,MySQL 层还会校验登录用户是否被允许从该 host 连入。用 root@localhost 创建的用户,默认不能从 192.168.1.50 连,这是两个完全不同的账号。
典型错误现象:Access denied for user 'myuser'@'192.168.1.50',但用 mysql -u myuser -h 127.0.0.1 却能登上去。
- 创建远程可用用户:先
CREATE USER 'myuser'@'%' IDENTIFIED BY 'mypass';(%表示任意 host;生产环境建议写具体 IP 段,如'192.168.1.%') - 再
GRANT SELECT,INSERT ON mydb.* TO 'myuser'@'%';,最后FLUSH PRIVILEGES; - MySQL 8.0+ 不允许直接
GRANT不存在的用户,必须先CREATE USER;5.7 及以前可一步GRANT ... IDENTIFIED BY,但不推荐
防火墙拦截 3306 端口:systemd-firewalld 和 ufw 都得查
Linux 主机上,即使 MySQL 正常监听 0.0.0.0:3306,外部请求也可能在系统级被丢弃。现象是 telnet 或 nc 连接超时(而非拒绝),说明包没到 mysqld 进程。
检查顺序建议从外到内:先在客户端用 telnet your-server-ip 3306,不通就停在这步排查。
- Ubuntu/Debian 上跑
sudo ufw status,确认3306在 allow 列表;若没开,执行sudo ufw allow 3306 - CentOS/RHEL 8+ 用
sudo firewall-cmd --list-ports,缺则加:sudo firewall-cmd --add-port=3306/tcp --permanent && sudo firewall-cmd --reload - 云服务器(如阿里云、AWS)务必检查安全组规则——这里漏配比本地防火墙更常见
SELinux 强制限制:setsebool -P mysqld_connect_any on 是关键开关
CentOS/RHEL 默认启用 SELinux,它会阻止 mysqld 主动向外建立连接(比如主从复制),也会限制外部对 3306 的入向连接,即使防火墙全开也无效。错误日志里看不到明显提示,ausearch -m avc -ts recent 才能看到被 deny 的记录。
- 临时放开:
sudo setsebool -P mysqld_connect_any on(-P表示永久生效) - 验证是否生效:
getsebool mysqld_connect_any应返回on - 不建议直接
setenforce 0关 SELinux,治标不治本,且重启后失效
MySQL 远程连接问题从来不是单点故障,bind-address、用户 host、系统防火墙、SELinux、云平台安全组这五层只要有一层卡住,表现都是“连不上”。最容易被跳过的其实是最后两层——尤其在云环境里,安全组规则和 SELinux 状态常常被当成“应该没问题”的环节直接略过。
本文共计1012个文字,预计阅读时间需要5分钟。
默认安装的MySQL通常只监听本地回环地址,远程客户端端发来的TCP请求无法直接进入,连接阶段都过不去。这不是密码错误或用户没有授权的问题,而是压力根没有在监听那个网卡的地址。
检查方式:grep bind-address /etc/mysql/mysql.conf.d/mysqld.cnf(Debian/Ubuntu)或 /etc/my.cnf(CentOS)。常见错误值是 bind-address = 127.0.0.1 或直接注释掉这行(某些版本默认即为 127.0.0.1)。
- 要允许远程连接,改成
bind-address = 0.0.0.0(监听所有 IPv4 接口),或指定具体内网 IP(如192.168.1.100)更安全 - 改完必须重启服务:
sudo systemctl restart mysql(或mysqld) - 注意:MySQL 8.0+ 默认禁用
skip-networking,但若配置里显式写了它,必须删掉,否则bind-address无效
用户权限不足:CREATE USER 和 GRANT 必须配对使用
即使端口通了、bind 地址放开了,MySQL 层还会校验登录用户是否被允许从该 host 连入。用 root@localhost 创建的用户,默认不能从 192.168.1.50 连,这是两个完全不同的账号。
典型错误现象:Access denied for user 'myuser'@'192.168.1.50',但用 mysql -u myuser -h 127.0.0.1 却能登上去。
- 创建远程可用用户:先
CREATE USER 'myuser'@'%' IDENTIFIED BY 'mypass';(%表示任意 host;生产环境建议写具体 IP 段,如'192.168.1.%') - 再
GRANT SELECT,INSERT ON mydb.* TO 'myuser'@'%';,最后FLUSH PRIVILEGES; - MySQL 8.0+ 不允许直接
GRANT不存在的用户,必须先CREATE USER;5.7 及以前可一步GRANT ... IDENTIFIED BY,但不推荐
防火墙拦截 3306 端口:systemd-firewalld 和 ufw 都得查
Linux 主机上,即使 MySQL 正常监听 0.0.0.0:3306,外部请求也可能在系统级被丢弃。现象是 telnet 或 nc 连接超时(而非拒绝),说明包没到 mysqld 进程。
检查顺序建议从外到内:先在客户端用 telnet your-server-ip 3306,不通就停在这步排查。
- Ubuntu/Debian 上跑
sudo ufw status,确认3306在 allow 列表;若没开,执行sudo ufw allow 3306 - CentOS/RHEL 8+ 用
sudo firewall-cmd --list-ports,缺则加:sudo firewall-cmd --add-port=3306/tcp --permanent && sudo firewall-cmd --reload - 云服务器(如阿里云、AWS)务必检查安全组规则——这里漏配比本地防火墙更常见
SELinux 强制限制:setsebool -P mysqld_connect_any on 是关键开关
CentOS/RHEL 默认启用 SELinux,它会阻止 mysqld 主动向外建立连接(比如主从复制),也会限制外部对 3306 的入向连接,即使防火墙全开也无效。错误日志里看不到明显提示,ausearch -m avc -ts recent 才能看到被 deny 的记录。
- 临时放开:
sudo setsebool -P mysqld_connect_any on(-P表示永久生效) - 验证是否生效:
getsebool mysqld_connect_any应返回on - 不建议直接
setenforce 0关 SELinux,治标不治本,且重启后失效
MySQL 远程连接问题从来不是单点故障,bind-address、用户 host、系统防火墙、SELinux、云平台安全组这五层只要有一层卡住,表现都是“连不上”。最容易被跳过的其实是最后两层——尤其在云环境里,安全组规则和 SELinux 状态常常被当成“应该没问题”的环节直接略过。