Sollten Sie iptables mit EC2-Instanzen verwenden?

Mit ec2-authorize können Sie angeben, welche Art von Datenverkehr für Ihre ec2-Instanz zulässig ist. Ist es immer noch eine gute Idee, iptables auszuführen, oder führt dies zu unnötiger Komplexität?

Einige Gründe, warum Sie iptables aktivieren könnten:

• kann verwendet werden, um ausgehende Trojaner zu blockieren, z. B. ausgehende SMTP 25 zu blockieren, und Sie bieten Schutz gegen Spam-Trojaner
• Was ist, wenn die Amazon-Firewall aus irgendeinem Grund versehentlich von Amazon deaktiviert wird?
• Was passiert, wenn die Instanz mit einer unangemessenen Sicherheitsgruppe gestartet wird oder ein Problem mit der Konfiguration der Sicherheitsgruppe vorliegt?

Das Aktivieren von iptables bietet umfassende Verteidigung und ist einfach zu konfigurieren, z. B. mit ufw:

sudo ufw default allow
sudo ufw enable
sudo ufw allow 22/tcp    # allow ssh
sudo ufw default deny

# sudo ufw allow 80/tcp   # uncomment this line to allow incoming http
# sudo ufw allow 443/tcp  # uncomment this line to allow incoming https

(Hinweis: Dies blockiert ausgehendes SMTP nicht, zeigt jedoch, dass das Erhalten eines grundlegenden Konfigurations-Setups für iptables ziemlich schmerzlos ist. Sie können dies dann optimieren, wenn Sie vi /etc/ufw/*.rules mögen.)

Ich würde sagen, es hängt davon ab, wie paranoid du bist. Ich persönlich verwende in meinen Netzwerken einen zweistufigen Ansatz: Es gibt eine globale Firewall, die die meisten schlechten Dinge blockiert, und dann führt jeder Host eine Art lokale Firewall aus, die für seinen Lebenszweck spezifisch ist.

Es hört sich so an, als ob ec2-authorize der Firewall pro Host sehr ähnlich ist. Ich würde es konfigurieren und ein paar schlechte Pakete darauf werfen und sehen, was passiert. Ich vermute es ist ausreichend.