您是否应该将 iptables 与 EC2 实例一起使用？

Question 1

您可能考虑激活 iptables 的一些原因：

可以用来阻止传出的木马，例如阻止传出的 smtp 25，并且您可以防御垃圾邮件木马
如果亚马逊防火墙由于某种原因被亚马逊意外禁用了怎么办？
如果实例启动时使用了不适当的安全组，或者安全组的配置存在问题，该怎么办？

激活 iptables 可以提供纵深防御，并且易于配置，例如使用 ufw：

sudo ufw default allow
sudo ufw enable
sudo ufw allow 22/tcp    # allow ssh
sudo ufw default deny

# sudo ufw allow 80/tcp   # uncomment this line to allow incoming http
# sudo ufw allow 443/tcp  # uncomment this line to allow incoming https

（注意：这不会阻止传出的 smtp，但它确实表明获取基本的 iptables 配置设置相当轻松，然后您可以根据需要对其进行调整 vi /etc/ufw/*.rules）

Answer

您可能考虑激活 iptables 的一些原因：

可以用来阻止传出的木马，例如阻止传出的 smtp 25，并且您可以防御垃圾邮件木马
如果亚马逊防火墙由于某种原因被亚马逊意外禁用了怎么办？
如果实例启动时使用了不适当的安全组，或者安全组的配置存在问题，该怎么办？

激活 iptables 可以提供纵深防御，并且易于配置，例如使用 ufw：

sudo ufw default allow
sudo ufw enable
sudo ufw allow 22/tcp    # allow ssh
sudo ufw default deny

# sudo ufw allow 80/tcp   # uncomment this line to allow incoming http
# sudo ufw allow 443/tcp  # uncomment this line to allow incoming https

（注意：这不会阻止传出的 smtp，但它确实表明获取基本的 iptables 配置设置相当轻松，然后您可以根据需要对其进行调整 vi /etc/ufw/*.rules）

Question 2

我想说这取决于你有多偏执。我个人在我的网络上使用两阶段方法：有一个全局防火墙可以阻止大多数坏东西，然后每个主机运行某种特定于其生存目的的本地防火墙。

ec2-authorize 听起来很像那个主机防火墙。我会配置它并向它发送一些坏数据包，看看会发生什么。我怀疑这已经足够了。

Answer

我想说这取决于你有多偏执。我个人在我的网络上使用两阶段方法：有一个全局防火墙可以阻止大多数坏东西，然后每个主机运行某种特定于其生存目的的本地防火墙。

ec2-authorize 听起来很像那个主机防火墙。我会配置它并向它发送一些坏数据包，看看会发生什么。我怀疑这已经足够了。

您是否应该将 iptables 与 EC2 实例一起使用？

答案1

答案2

相关内容