Limitación del usuario de MySQL para conectarse desde la segunda interfaz

El server web y los serveres MySQL tienen una segunda interfaz en una networking sin acceso público a Internet.

¿Cómo puede restringirse un usuario de MySQL para conectarse sólo desde dentro de la networking privada ya través de esa segunda interfaz?

Para empezar, he desactivado bind-address en my.cnf

 bind-address = 0.0.0.0 

¿Puede esto ser más restrictivo? ¿Pueden los usuarios de MYSQL estar restringidos para conectarse sólo desde la segunda interfaz?

Puedes restringir el acceso a MySQL por iptables, por ejemplo

 # iptables -I INPUT -p tcp --dport 3306 -s 192.168.0.0/16 -j ACCEPT 

También puede restringir el usuario mysql mismo

 mysql> grant all privileges on test_db.* to test_user@'192.168.%' identified by '1234567'; 

Puede asignar bind-address al ip de su segunda interfaz. Por ejemplo:

 bind-address = 192.168.220.1