您是否应该将iptables与EC2实例一起使用?

8

您可以使用ec2-authorize来指定允许进入ec2实例的流量类型。运行iptables还是一个好主意,还是引入了不必要的复杂性?

iptables  amazon-ec2 
ro。
source

Answers:

6

您可能考虑激活iptables的一些原因:

  • 可以用来阻止传出特洛伊木马程序,例如阻止传出的smtp 25,并且您可以提供针对垃圾邮件木马的防御
  • 如果亚马逊由于某种原因意外停用了亚马逊防火墙怎么办?
  • 如果实例是由不合适的安全组启动的,或者安全组的配置有问题怎么办?

激活iptables可以提供深度防御,并且易于配置,例如使用ufw:

sudo ufw default allow
sudo ufw enable
sudo ufw allow 22/tcp    # allow ssh
sudo ufw default deny

# sudo ufw allow 80/tcp   # uncomment this line to allow incoming http
# sudo ufw allow 443/tcp  # uncomment this line to allow incoming https

(注意:这不会阻止传出的smtp,但是它确实表明获得基本的iptables配置设置是相当轻松的,然后,如果您喜欢vi /etc/ufw/*.rules,则可以进行调整)

休·珀金斯
source
0

我会说这取决于你有多偏执。我个人在网络上使用了两个阶段的方法:有一个全局防火墙可以阻止大多数不良内容,然后每个主机都运行某种特定于其用途的本地防火墙。

听起来ec2-authorize很像每个主机的防火墙。我将它配置好,并向它扔一些坏包,然后看看会发生什么。我怀疑就足够了。

迈克尔·格拉夫
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.