Diferença entre grupos de segurança (na AWS) e iptables

9

Estou apenas configurando um servidor e me perguntando se é necessário configurar o firewall duas vezes. Por exemplo, eu tenho um grupo de segurança com as seguintes portas abertas: 80, 443, 22

Agora eu configuro meu servidor com UFW (frontend para iptables). Preciso definir minhas portas aqui novamente ou simplesmente defini-las nas iptables sem nenhum grupo de segurança ou ambos?

Existe uma diferença ou vantagens / desvantagens?

Nepo Znat
fonte
5
Ter os dois significa mais para gerenciar, mas protege você se você for um dos dois. O tráfego bloqueado no nível da AWS nunca chega à sua instância, o que pode ser muito útil.
precisa
1
O Nginx inclui UFW ? Eu pensei que o Nginx incluísse o Nginx. O UFW parece ser um front end para o iptables. Se você configurar grupos de segurança corretamente (e possivelmente testá-los), não há vantagem em usar os dois, mas, como ceejayoz diz, ele fornece uma segunda linha de proteção. Eu não me incomodo pessoalmente.
Tim
Obrigado pelas respostas. Desculpe, eu quis dizer que está instalado no Ubuntu.
Nepo Znat 19/11

Respostas:

7

Como Tim disse no comentário, o UFW é o frontend do iptables, então você deve realmente comparar os recursos do iptables com o Amazon Security Groups.

Para mim, a principal vantagem da SG é a integração à infraestrutura da AWS. Ele permite que você construa uma pilha inteira usando o Amazon CloudFormation, obtenha detalhes sobre portas / endereços abertos / fechados via API, etc. Desvantagens - é bloqueado pelo fornecedor, o que significa que você precisará refazer tudo se decidir mudar de provedor de hospedagem.

Primeiro, verifique os limites do Amazon VPC . Se sua contagem de regras estiver dentro dos limites e seu caso não exigir nada de especial, como o NAT implementado pelo iptables, é suficiente usar apenas o Amazon SG e deixar o UFW aberto. Você também pode verificar esta pergunta para obter mais detalhes: Por que grupos de segurança e iptables no Amazon EC2?

antrost
fonte
Obrigado pela resposta. Eu decidi usar os dois. - SG e iptables.
Nepo Znat 19/11