Недавно я столкнулся с проблемой брандмауэра с моим экземпляром EC2. Порт TCP был доступен каждому через группу безопасности EC2, однако все еще существовала фильтрация на стороне экземпляра с использованием iptables. Я подумал, что группы безопасности - это просто модный API для IPTables. Оказывается, они работают исключительно из того, что я могу сказать. Есть ли причина использовать оба? Одного брандмауэра должно быть достаточно, и добавление еще одного уровня сложности, похоже, является головной болью, ожидающей своего появления.
Тем временем я собираюсь либо открыть все порты в моей группе безопасности, а затем выполнить всю фильтрацию через iptables или наоборот, отключить iptables и использовать фильтрацию группы безопасности.
Любые отзывы о том, является ли моя логика здесь ошибочной? Я что-то упускаю из виду?
источник
Оба они достаточно просты в настройке, и оба они обеспечивают защиту от эксплойта или уязвимости в одном из них.
источник