MySQL默认监听0.0.0.0会暴露所有网卡IP,必须显式设bind-address为业务所需单IP(如192.168.209.121),配合防火墙按网卡/IP放行及user@host权限控制,缺一不可。
MySQL 默认监听 0.0.0.0,在多网卡服务器上等于把所有 IP(包括公网、内网、测试网段)都暴露出去——这不是“能连上”,而是“谁都能连上”。必须显式限制它只绑定业务需要的 IP。
先看真实情况,别猜配置文件是否生效:
ss -tlnp | grep :3306 或 netstat -tuln | grep :3306
*:3306 表示监听所有 IPv4 地址;127.0.0.1:3306 表示仅本地;192.168.209.121:3306 才是正确绑定到某张网卡:::3306(IPv6 全监听),说明 bind-address 对 IPv6 无效,需额外处理(见下条)bind-address 是核心开关,但它不支持逗号分隔多个 IP(MySQL 官方明确不支持)。常见误区是写成 bind-address = 127.0.0.1,192.168.1.100 ——这会导致 MySQL 启动失败或静默忽略后半部分。
bind-address = 192.168.209.121(对应内网网卡)127.0.0.1,但必须配合 skip-networking = OFF(默认即关)bind-address = ::1(仅本地 IPv6),但无法同时绑定 IPv4 和 IPv6 地址;想两者兼顾,只能设为 0.0.0.0 并靠防火墙兜底——不推荐my.ini 路径通常为 WAMPbinmysqlmysqlX.X.Xmy.ini,改完必须重启服务,不是重载MySQL 本身不提供“监听多个业务 IP”的原生能力。所谓“多网卡绑定”,本质是让 MySQL 监听一个安全 IP(如内网),再通过防火墙规则决定哪些来源可访问该端口。
192.168.209.121,但你想允许另一台内网机器 192.168.209.50 连接 3306,则防火墙放行即可,无需 MySQL 改配置iptables -A INPUT -i eth0 -p tcp --dport 3306 -j DROP(假设 eth0 是公网网卡)iptables -A INPUT -s 192.168.209.0/24 -p tcp --dport 3306 -j ACCEPT,然后 iptables -P INPUT DROP
iptables -L -n -v 输出,确认规则已加载且计数器在增长即使 MySQL 绑定了某个 IP,如果创建用户时没指定来源主机,照样连不上。权限粒度比绑定更细:
CREATE USER 'app'@'%' IDENTIFIED BY 'pwd'; —— % 允许任意 IP,但前提是 MySQL 本身得监听那个 IPCREATE USER 'app'@'192.168.209.50' IDENTIFIED BY 'pwd'; 或 CREATE USER 'app'@'192.168.209.%' IDENTIFIED BY 'pwd';
GRANT SELECT ON mydb.* TO 'app'@'192.168.209.50'; FLUSH PRIVILEGES; 后才真正生效caching_sha2_password 插件,某些旧客户端可能不兼容,必要时加 IDENTIFIED WITH mysql_native_password
真正容易被忽略的是:改了 bind-address 后不验证 ss 输出,也不检查用户 host 字段是否匹配实际来源 IP。这两步任缺其一,都会导致“配置写了,却连不上”。