¿Debería usar iptables con instancias EC2?

8

Puede usar ec2-authorize para especificar qué tipo de tráfico permitir a su instancia de ec2. ¿Sigue siendo una buena idea ejecutar iptables, o es introducir complejidad innecesaria?

iptables  amazon-ec2 
ro.
fuente

Respuestas:

6

Algunas razones por las que podría considerar activar iptables:

  • puede usar para bloquear troyanos salientes, por ejemplo, bloquear smtp 25 salientes, y proporciona defensa contra troyanos de spam
  • ¿Qué sucede si Amazon corta el firewall por alguna razón por accidente?
  • ¿Qué sucede si la instancia se inicia con un grupo de seguridad inapropiado o si hay un problema con la configuración del grupo de seguridad?

La activación de iptables proporciona una defensa en profundidad y es fácil de configurar, por ejemplo, con ufw:

sudo ufw default allow
sudo ufw enable
sudo ufw allow 22/tcp    # allow ssh
sudo ufw default deny

# sudo ufw allow 80/tcp   # uncomment this line to allow incoming http
# sudo ufw allow 443/tcp  # uncomment this line to allow incoming https

(nota: esto no bloqueará el smtp saliente, pero sí muestra que obtener una configuración básica de configuración de iptables es bastante sencillo, y luego puede ajustar esto si desea vi /etc/ufw/*.rules)

Hugh Perkins
fuente
0

Diría que depende de lo paranoico que seas. Personalmente uso un enfoque de dos etapas en mis redes: hay un firewall global que bloquea la mayoría de las cosas malas, y luego cada host ejecuta algún tipo de firewall local específico para su propósito en la vida.

Parece que ec2-authorize se parece mucho a ese firewall por host. Lo configuraría y le lanzaría algunos paquetes malos, y vería qué sucede. Sospecho que es suficiente.

Michael Graff
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.