É aqui que mora o perigo! Não adianta de nada você ter um SO e um SGBD bem configurados e deixar todo tráfego que vem da rua simplesmente chegar no seu servidor e fazer flood, brute force etc.

Aqui vão algumas dicas:

1. Por favor, eu imploro, de verdade, não façam isso! Não deixe o seu MySQL rodar na porta 3306, vá no my.cnf e encontre na sessão [ mysqld ] o parâmetro "port=3306" e coloque uma porta alta e totalmente aleatória. Caso você precise muito, muito, muito mesmo da 3306, tente fazer isso em uma rede confiável com uma VPN. O motivo disso é simples: os atacantes mandam escanear os range de IPs publicados procurando por portas default como 21, 22, 990 e 3306;

2. Ainda com o iptables, restrinja o acesso ao seu servidor e aceite apenas as conexões de IPs confiáveis. Você pode criar um servidor para apenas se logar via SSH a dele se conectar no mysqlclient do seu servidor de produção.

3. Sempre trafegue utilizando TLS para criptografar todos os seus dados. Veja como neste link oficial:

• Using SSL for Secure Connections

4. Configure o fail2ban para monitorar e fazer a segurança contra brute force no seu servidor, mesmo que a porta não seja 3306 e principalmente se for.