EC2インスタンスでiptablesを使用する必要がありますか？

ec2-authorizeを使用して、ec2インスタンスに許可するトラフィックの種類を指定できます。それでもiptablesを実行するのは良い考えですか、それとも不必要な複雑さを導入していますか？

iptablesのアクティブ化を検討するいくつかの理由：

• 送信トロイの木馬をブロックするために使用できます。たとえば、送信SMTP 25をブロックし、スパムトロイの木馬に対する防御を提供します。
• Amazonファイアウォールが何らかの理由で誤ってAmazonによって無効にされた場合はどうなりますか？
• インスタンスが不適切なセキュリティグループで開始された場合、またはセキュリティグループの構成に問題がある場合はどうなりますか？

iptablesをアクティブにすることは、多層防御を提供し、例えばufwで設定するのは簡単です：

sudo ufw default allow
sudo ufw enable
sudo ufw allow 22/tcp    # allow ssh
sudo ufw default deny

# sudo ufw allow 80/tcp   # uncomment this line to allow incoming http
# sudo ufw allow 443/tcp  # uncomment this line to allow incoming https

（注：これは送信smtpをブロックしませんが、基本的なiptables構成のセットアップを取得するのはかなり簡単であり、vi /etc/ufw/*.rulesが好きな場合はこれを調整できます）

それはあなたがどれだけ偏執的であるかによると思います。私は自分のネットワークで2段階のアプローチを個人的に使用しています。ほとんどの悪いものをブロックするグローバルファイアウォールがあり、各ホストは人生の目的に固有のある種のローカルファイアウォールを実行しています。

ec2-authorizeはホストごとのファイアウォールによく似ているようです。私はそれを構成し、それにいくつかの不良パケットを投げて、何が起こるか見てみます。それで十分だと思います。