CLOUD云当在宝塔面板中将 MySQL/MariaDB 数据库权限设置为「仅允许固定 IP 访问」却无法连接时,常见原因及排查步骤如下(请按顺序逐一检查):
✅ 一、确认「你实际使用的客户端 IP」是否与宝塔中设置的 IP 完全一致
- ❌ 常见误区:以为本地电脑 IP 是
192.168.x.x或10.x.x.x(内网),就填这个 —— 错!
✅ 正确逻辑:数据库服务器(宝塔所在服务器)看到的客户端真实公网 IP 才是关键。- 如果你从家庭宽带/公司网络连接:访问 https://ip.cn 或
curl ifconfig.me查看你的出口公网 IP(注意:该 IP 可能是动态的,且可能被运营商 NAT,如“多级NAT”下你看到的不是真实可达IP)。 - 如果你用手机热点、校园网、企业防火墙后连接:实际出口 IP 可能和你本机
ipconfig/ifconfig显示的完全不同。 - ⚠️ 特别注意:阿里云/腾讯云/华为云等厂商的安全组(防火墙)默认拦截所有入站 MySQL 端口(3306)! 即使宝塔授权了 IP,安全组没放行 = 连不上。
- 如果你从家庭宽带/公司网络连接:访问 https://ip.cn 或
✅ 二、检查服务器层面的网络准入(三重防火墙)
| 层级 | 检查项 | 操作 |
|---|---|---|
| 🔹 1. 云服务商安全组(最重要!) | 是否开放 3306 端口,且源 IP 设置为你的真实公网 IP(或 IP 段)? |
登录云控制台 → 安全组 → 编辑入方向规则 → 添加:端口 3306,协议 TCP,源 xxx.xxx.xxx.xxx/32(精确IP)或 0.0.0.0/0(临时测试,不推荐) |
| 🔹 2. 服务器系统防火墙(如 firewalld/ufw) | 是否阻止了 3306? | bash<br>firewall-cmd --list-ports # CentOS7+<br>sudo ufw status # Ubuntu<br># 若未开放:firewall-cmd --add-port=3306/tcp --permanent && firewall-cmd --reload<br> |
| 🔹 3. 宝塔自带防火墙(可选) | 宝塔面板 → 安全 → 防火墙 → 是否放行 3306? | ✅ 勾选「MySQL」或手动添加 3306 端口 |
✅ 三、检查 MySQL 用户权限是否真正生效
- 宝塔设置的是「逻辑权限」,但底层是通过
CREATE USER+GRANT实现的,需验证:-- 登录服务器 MySQL(命令行或 phpMyAdmin) mysql -u root -p -- 查看该用户具体授权记录(替换 your_user 和 your_db) SELECT host, user FROM mysql.user WHERE user = 'your_user'; SHOW GRANTS FOR 'your_user'@'xxx.xxx.xxx.xxx'; -- 必须和你连接时用的 host 完全匹配!⚠️ 关键点:
host字段必须精确匹配你连接时的来源 IP(如'123.45.67.89',不能是'%'或'123.45.67.%',除非你明确配置了通配符);- 若你填的是
192.168.1.100,但实际连接 IP 是123.45.67.89,则拒绝; - 修改后执行:
FLUSH PRIVILEGES;
✅ 四、连接方式与参数是否正确?
- ✅ 使用标准命令行测试(排除客户端工具干扰):
mysql -h 你的服务器公网IP -P 3306 -u 数据库用户名 -p # 输入密码后看错误提示(比图形化工具更明确) - ❌ 常见错误及含义:
ERROR 1045 (28000): Access denied for user...→ 用户名/密码错,或host 不匹配(最常见!);ERROR 2003 (HY000): Can't connect to MySQL server on 'x.x.x.x' (113)→ 网络不通(安全组/防火墙拦截);ERROR 1130: Host 'xxx.xxx.xxx.xxx' is not allowed to connect to this MySQL server→ MySQL 用户 host 权限不匹配(宝塔设置未生效或填错);
✅ 五、其他高频陷阱
| 场景 | 解决方案 |
|---|---|
| 🌐 使用 Cloudflare / CDN / X_X访问 | ❌ 数据库绝不应走 CDN!确保直连服务器公网 IP,关闭X_X;Cloudflare 会隐藏真实 IP,导致 host 匹配失败 |
| 📱 手机 4G/5G 网络 | 运营商 IP 高频变动,且常为 NAT 共享 IP(如 100.64.x.x),无法固定。建议:用固定宽带或申请静态公网 IP,或改用 SSH 隧道/宝塔X_X(如 frp) |
| 🐳 Docker 环境部署 MySQL | 宝塔可能管理的是宿主机 MySQL,而容器内 MySQL 端口未映射或网络模式为 bridge,需额外配置容器网络 |
| 🔐 SSL 强制要求 | 若 MySQL 启用了 require_secure_transport=ON,而客户端未启用 SSL,则拒绝连接(宝塔默认不开启,但需确认) |
✅ 终极排查流程图(建议收藏):
连接失败?
├─→ 能 ping 通服务器 IP?(若不能 → 网络/安全组问题)
├─→ telnet 服务器IP 3306 是否成功?(若超时 → 防火墙/安全组拦截)
├─→ 登录服务器执行:mysql -h 127.0.0.1 -u root -p → 能否本地连?(验证 MySQL 服务正常)
├─→ 执行:SELECT host,user FROM mysql.user; → 确认用户 host 是否为你的真实公网 IP?
├─→ 执行:SHOW GRANTS FOR 'user'@'your_ip'; → 确认有 USAGE 权限且 host 精确匹配?
└─→ 检查宝塔「数据库」→「权限」中设置的 IP 是否与上述完全一致?→ ✅ 保存后重启 MySQL(宝塔会自动 reload,但可手动重启确保)💡 小技巧:临时测试用 % 授权(仅限测试!):
- 在宝塔数据库 → 修改权限 → IP 改为
%→ 提交 → 再用telnet ip 3306测试能否通; - 若此时能连 → 100% 是 IP 填写不准确(非网络问题);
- 若仍不能 → 一定是安全组/防火墙/MySQL 服务问题。
需要我帮你分析具体错误日志?欢迎贴出:
- 你填的「宝塔中设置的 IP」
- 你执行
curl ifconfig.me得到的 IP - 你连接时的完整命令/截图(隐藏敏感信息)
- 错误提示原文(如
Access denied...或Can't connect...)
我可以立刻定位卡点 👇