Je suis en train de configurer un serveur et je me demande s'il est nécessaire de configurer le pare-feu deux fois. Par exemple, j'ai un groupe de sécurité avec les ports ouverts suivants: 80, 443, 22
Maintenant, je configure mon serveur avec UFW (frontend pour iptables). Dois-je définir mes ports ici à nouveau ou simplement le définir dans les iptables sans groupe de sécurité ou les deux?
Y a-t-il une différence ou des avantages / inconvénients?
linux
nginx
amazon-web-services
security-groups
Nepo Znat
la source
la source
Réponses:
Comme Tim l'a dit en commentaire, UFW est l'interface avec iptables, vous devriez donc vraiment comparer les capacités d'iptables avec Amazon Security Groups.
Pour moi, le principal avantage de SG est l'intégration à l'infrastructure AWS. Il vous permet de créer une pile entière à l'aide d'Amazon CloudFormation, d'obtenir des détails sur les ports / adresses ouverts / fermés via l'API, etc. Inconvénients - il est verrouillé par le fournisseur, ce qui signifie que vous devrez tout refaire si vous décidez de changer de fournisseur d'hébergement.
Tout d'abord, vérifiez les limites d'Amazon VPC . Si votre nombre de règles est dans les limites et que votre cas ne nécessite rien de spécial comme NAT implémenté par iptables, il suffit d'utiliser Amazon SG uniquement et de laisser UFW ouvert. Vous pouvez également vérifier cette question pour plus de détails: pourquoi avoir à la fois des groupes de sécurité et des iptables sur Amazon EC2?
la source