El uso de plataformas como VESTA como panel de control para hosting es una alternativa interesante a CPANEL, sobre todo por su facilidad de instalación. Tengo varias máquinas corriendo esta plataforma a modo experimental y hoy, tras darle un vistazo mas a fondo descubrí un pequeño fallo en su configuración por defecto.
VESTA permite manipular reglas de iptables (cortafuegos) desde un entorno web, sin embargo hay una regla por defecto que expone a MYSQL Server a conexiones externas, pese a que no tenga ninguna necesidad de ello.
¿Por que la configuración por defecto permite conexiones desde cualquier origen hacia el puerto 3306 TCP?
VESTA viene configurado para trabajar con APACHE2 o NGINX en la misma máquina que MYSQL por lo tanto no tiene mucho sentido en mi opinión permitir conexiones externas.
El resultado de esta configuración expone a MYSQL a tráfico molesto e innecesario.
Afortunadamente el problema es fácil de mitigar, pues VESTA trae por defecto en sus reglas IPTABLES el permitir conexiones en loop a 127.0.0.1 y la acción de filtrado entrante por defecto es DROP.
Por lo anterior para corregir este comportamiento basta con deshabilitar la regla asociada al puerto 3306 TCP.