открвать н аврешку вообще порты не безопасно.
вариантов несколко
1. пробрось тунель, дабы ssh очень легко кидает тунели на порты.
2. подлечи программистов маловероятен кейс когад им нужен доступ до бд напрямую, скорее они не умеют юзать банальный ssh
3. Открой на внешку с обязательным указанием единственного IP с которого это возможно делать, и соответствено убери как только закончат.