UFW: блокирует весь трафик для порта 3306

Как я могу заблокировать весь трафик только для одного порта? Возьмем следующую ситуацию:

• Ubuntu Desktop VM
• браузер имеет доступ к интернету (порт 80 остается открытым)
• Ubuntu update services работает нормально (не может быть заблокирован)
• установлен графический клиент MySQL

в обычной настройке клиент MySQL может подключаться к размещенному mysql-серверу, как с Amazon EC2, потому что исходящий трафик разрешен.

I теперь выполните следующую настройку. Я думал, что это заблокирует 3306, но я все еще могу устанавливать соединения с Amazon с помощью клиента MySQL. Я перезапустил, чтобы убедиться, что все правила были применены.

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 5900                       ALLOW IN    Anywhere
[ 4] Anywhere                   DENY IN     3306
[ 5] 3306                       DENY IN     Anywhere
[ 6] 22                         ALLOW IN    Anywhere (v6)
[ 7] 80                         ALLOW IN    Anywhere (v6)
[ 8] 5900                       ALLOW IN    Anywhere (v6)
[ 9] Anywhere (v6)              DENY IN     3306
[10] 3306                       DENY IN     Anywhere (v6)

еще какое-то объяснение...

Я использую виртуальную машину для тестирования существующего веб-приложения. Я делаю копию живой среды, восстанавливаю ее в виртуальной машине. Приложение live размещается в Amazon EC2. Сервер базы данных для приложения не localhost, но другой сервер. С Amazon, вы можете использовать публичный адрес для строки подключения, что-то вроде 12.34.56.78.eu-west-1.compute.amazonaws.com. Внутренне, они улавливают это и внутренний IP-адрес используется. Это имеет то преимущество, что когда экземпляр падает, и вам нужно создать другой экземпляр с другим внутренним IP-адресом, строка подключения не должна быть изменена.

этот адрес работает за пределами AWS, поэтому он работает с моей виртуальной машины. Я могу подключиться из виртуальной машины к рабочей базе данных. Я в курсе это, и знаю, что я должен изменить строку подключения. Иногда я забываю об этом, а затем используется производственная база данных. Я предпочитаю получать большое жирное уродливое сообщение об ошибке из моей тестовой среды, сообщающее мне, что соединение с базой данных не удалось. (Если каким-то образом другой клиент в локальной сети захочет подключиться к mysql-серверу в виртуальной машине, это не проблема.)

Так как могу я получить эту работу? Я думал, что блокировка порта 3306 в брандмауэре может выполнить эту работу.