您是否应该将 iptables 与 EC2 实例一起使用?

您是否应该将 iptables 与 EC2 实例一起使用?

您可以使用 ec2-authorize 指定允许哪种类型的流量进入您的 ec2 实例。运行 iptables 仍然是一个好主意吗,还是会引入不必要的复杂性?

答案1

您可能考虑激活 iptables 的一些原因:

  • 可以用来阻止传出的木马,例如阻止传出的 smtp 25,并且您可以防御垃圾邮件木马
  • 如果亚马逊防火墙由于某种原因被亚马逊意外禁用了怎么办?
  • 如果实例启动时使用了不适当的安全组,或者安全组的配置存在问题,该怎么办?

激活 iptables 可以提供纵深防御,并且易于配置,例如使用 ufw:

sudo ufw default allow
sudo ufw enable
sudo ufw allow 22/tcp    # allow ssh
sudo ufw default deny

# sudo ufw allow 80/tcp   # uncomment this line to allow incoming http
# sudo ufw allow 443/tcp  # uncomment this line to allow incoming https

(注意:这不会阻止传出的 smtp,但它确实表明获取基本的 iptables 配置设置相当轻松,然后您可以根据需要对其进行调整 vi /etc/ufw/*.rules)

答案2

我想说这取决于你有多偏执。我个人在我的网络上使用两阶段方法:有一个全局防火墙可以阻止大多数坏东西,然后每个主机运行某种特定于其生存目的的本地防火墙。

ec2-authorize 听起来很像那个主机防火墙。我会配置它并向它发送一些坏数据包,看看会发生什么。我怀疑这已经足够了。

相关内容