Я просто настраиваю сервер и задаюсь вопросом, нужно ли дважды устанавливать брандмауэр. Например, у меня есть группа безопасности со следующими открытыми портами: 80, 443, 22
Теперь я настраиваю свой сервер с помощью UFW (интерфейс для iptables). Должен ли я установить свои порты здесь снова или просто установить их в iptables без группы безопасности или с обоими?
Есть ли разница или преимущества / недостатки?
linux
nginx
amazon-web-services
security-groups
Непо Знат
источник
источник
Ответы:
Как сказал Тим в комментарии, UFW - это интерфейс iptables, поэтому вы должны действительно сравнить возможности iptables с Amazon Security Groups.
Для меня главным преимуществом SG является интеграция с инфраструктурой AWS. Он позволяет вам создавать весь стек с помощью Amazon CloudFormation, получать информацию об открытых / закрытых портах / адресах с помощью API и т. Д. Недостатки - он заблокирован поставщиком, что означает, что вам нужно будет повторить все, если вы решите сменить хостинг-провайдера.
Прежде всего, проверьте лимиты Amazon VPC . Если количество ваших правил находится в допустимых пределах, а в вашем случае не требуется ничего особенного, например, NAT, реализованного в iptables, достаточно использовать только Amazon SG и оставить UFW открытым. Вы также можете проверить этот вопрос для более подробной информации: почему в Amazon EC2 есть и группы безопасности, и iptables?
источник