Ich bin kürzlich auf ein Firewall-Problem mit meiner EC2-Instanz gestoßen. Der TCP-Port wurde allen Benutzern über die EC2-Sicherheitsgruppe zur Verfügung gestellt, es gab jedoch immer noch eine instanzseitige Filterung mithilfe von iptables. Ich dachte mir, dass Sicherheitsgruppen nur eine schicke API für IPTables sind. Es stellt sich heraus, dass sie ausschließlich von dem laufen, was ich sagen kann. Gibt es einen Grund, beide zu verwenden? Eine Firewall sollte ausreichen, und das Hinzufügen einer weiteren Komplexitätsebene scheint nur darauf zu warten, dass etwas passiert.
In der Zwischenzeit erwäge ich, entweder alle Ports in meiner Sicherheitsgruppe zu öffnen und dann alle Filter über iptables durchzuführen, oder umgekehrt, iptables zu deaktivieren und die Filterung für Sicherheitsgruppen zu verwenden.
Gibt es eine Rückmeldung, ob meine Logik hier fehlerhaft ist? Vermisse ich etwas Kritisches?
quelle
Sie sind beide recht einfach einzurichten, und wenn beide eingerichtet sind, bietet dies Schutz vor einem Exploit oder einem Fehler in einem von ihnen.
quelle