セキュリティグループ(AWS)とiptablesの違い


9

サーバーをセットアップして、ファイアウォールを2回設定する必要があるかどうか疑問に思っています。たとえば、80、443、22のポートが開いているセキュリティグループがあるとします。

次に、UFW(iptablesのフロントエンド)を使用してサーバーをセットアップします。私のポートをここで再度設定する必要がありますか、それともセキュリティグループなしまたはその両方でiptablesに設定するだけですか?

違いや利点/欠点はありますか?


5
両方を使用することは、より多くの管理を意味しますが、2つのうち1つを上回った場合に保護されます。AWSレベルでブロックされたトラフィックがインスタンスに到達することはないため、非常に役立ちます。
ceejayoz 2017年

1
NginxにはUFWが含まれていますか?NginxにはNginxが含まれているだけだと思いました。UFWはiptablesのフロントエンドのようです。セキュリティグループを正しく設定した場合(およびテストする可能性がある場合)、両方を使用する利点はありませんが、ceejayozが言うように、2番目の保護策を提供します。個人的には気にしません。
Tim

答えてくれてありがとう。申し訳ありませんが、Ubuntuにインストールされていることを意味します。
Nepo Znat 2017年

回答:


7

ティムがコメントで語ったあなたは本当にアマゾンセキュリティグループとiptablesの機能を比較する必要がありますので、UFWは、iptablesのにフロントエンドです。

私にとってSGの主な利点は、AWSインフラストラクチャへの統合です。Amazon CloudFormationを使用してスタック全体を構築し、APIなどを介して開いた/閉じたポート/アドレスの詳細を取得できます。欠点-ベンダーロックされているため、ホスティングプロバイダーを変更する場合はすべてをやり直す必要があります。

まず、Amazon VPCの制限を確認します。ルール数が制限内であり、iptablesによって実装されたNATなどの特別なことを必要としない場合は、Amazon SGのみを使用し、UFWを開いたままにしておくだけで十分です。詳細については、この質問も確認できます 。AmazonEC2にセキュリティグループとiptablesの両方があるのはなぜですか。


答えてくれてありがとう。両方使用することにしました。-SGおよびiptables。
Nepo Znat 2017年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.