サーバーをセットアップして、ファイアウォールを2回設定する必要があるかどうか疑問に思っています。たとえば、80、443、22のポートが開いているセキュリティグループがあるとします。
次に、サーバーをUFW(iptablesのフロントエンド)でセットアップします。ここでポートを再度設定する必要がありますか、それともセキュリティグループなしまたはその両方でiptablesに設定するだけですか?
違いや利点/欠点はありますか?
Tim がコメントで述べたように、UFWはiptablesのフロントエンドであるため、実際にiptablesの機能をAmazon Security Groupsと比較する必要があります。
私にとってSGの主な利点は、AWSインフラストラクチャへの統合です。 Amazon CloudFormationを使用してスタック全体を構築し、APIなどを介して開いた/閉じたポート/アドレスの詳細を取得できます。欠点-ベンダーロックされているため、ホスティングプロバイダーを変更する場合はすべてをやり直す必要があります。
まず、 Amazon VPC制限 を確認します。ルール数が制限内にあり、ケースにNAT iptablesによって実装されている)のような特別なことを必要としない場合、Amazon SGのみを使用し、UFWを開いたままにしておくだけで十分です。この質問も確認できます詳細: Amazon EC2にセキュリティグループとiptablesの両方がある理由