Você deve usar o iptables com instâncias do EC2?

8

Você pode usar o ec2-authorize para especificar que tipo de tráfego permitir a sua instância do ec2. Ainda é uma boa idéia rodar o iptables, ou isso está introduzindo uma complexidade desnecessária?

    
por ro. 25.11.2009 / 06:53

2 respostas

6

Algumas razões pelas quais você pode considerar a ativação do iptables:

  • pode ser usado para bloquear trojans de saída, por exemplo, bloquear o smtp 25 de saída e fornecer defesa contra trojans de spam
  • e se o firewall da Amazon estiver desabilitado por algum motivo pela Amazon por acidente?
  • e se a instância for iniciada com um grupo de segurança inadequado ou se houver um problema com a configuração do grupo de segurança?

A ativação do iptables fornece defesa em profundidade e é fácil de configurar, por exemplo, com o ufw:

sudo ufw default allow
sudo ufw enable
sudo ufw allow 22/tcp    # allow ssh
sudo ufw default deny

# sudo ufw allow 80/tcp   # uncomment this line to allow incoming http
# sudo ufw allow 443/tcp  # uncomment this line to allow incoming https

(nota: isso não bloqueará o smtp de saída, mas mostra que obter uma configuração de configuração básica do iptables é bastante indolor, e então você pode ajustar isso se gostar do vi /etc/ufw/*.rules)

    
por 29.11.2009 / 14:06
0

Eu diria que isso depende de como você é paranóico. Eu pessoalmente uso uma abordagem de dois estágios nas minhas redes: existe um firewall global que bloqueia a maioria das coisas ruins, e então cada host executa algum tipo de firewall local específico para sua finalidade na vida.

Parece que o ec2-authorize é muito parecido com o firewall por host. Eu configuraria e lançaria alguns pacotes ruins, e veria o que acontece. Eu suspeito que seja suficiente.

    
por 25.11.2009 / 06:59