Puede usar ec2-authorize para especificar qué tipo de tráfico permitir a su instancia de ec2. ¿Sigue siendo una buena idea ejecutar iptables, o es introducir complejidad innecesaria?
fuente
Puede usar ec2-authorize para especificar qué tipo de tráfico permitir a su instancia de ec2. ¿Sigue siendo una buena idea ejecutar iptables, o es introducir complejidad innecesaria?
Algunas razones por las que podría considerar activar iptables:
La activación de iptables proporciona una defensa en profundidad y es fácil de configurar, por ejemplo, con ufw:
sudo ufw default allow
sudo ufw enable
sudo ufw allow 22/tcp # allow ssh
sudo ufw default deny
# sudo ufw allow 80/tcp # uncomment this line to allow incoming http
# sudo ufw allow 443/tcp # uncomment this line to allow incoming https
(nota: esto no bloqueará el smtp saliente, pero sí muestra que obtener una configuración básica de configuración de iptables es bastante sencillo, y luego puede ajustar esto si desea vi /etc/ufw/*.rules)
Diría que depende de lo paranoico que seas. Personalmente uso un enfoque de dos etapas en mis redes: hay un firewall global que bloquea la mayoría de las cosas malas, y luego cada host ejecuta algún tipo de firewall local específico para su propósito en la vida.
Parece que ec2-authorize se parece mucho a ese firewall por host. Lo configuraría y le lanzaría algunos paquetes malos, y vería qué sucede. Sospecho que es suficiente.