[トップページ] [FAQ 一覧]

対象:セキュリティグループ

Linuxを使用する場合、セキュリティグループと iptables/firewalld のどちらでパケットの制御を行うか





疑問


EC2 インスタンスにはセキュリティグループという機能があります。(ACL というサブネット単位のACLもありますがここでは省略します。)
Linux を使用する場合はパケットフィルター機能として、この AWSの セキュリティグループ と Linux カーネルが保有する iptables/firewalld があります。
一般的にパケットフィルタとしてはどちらで制御を行うべきでしょうか。

答え


インスタンス間で共通化可能なため原則はセキュリティグループでの制御がよいと思われます。
ただし現状ではセキュリティグループでは拒否の設定ができないなど制限事項は多数あります。必要ならiptablesでの制御が必要です。


参考:セキュリティグループの制限
https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Appendix_Limits.html

【超重要】本ページは2018/05/27に記載されました。情報が古くなっている可能性があります。




[ 一覧に戻る]


【注意事項】本ページの内容は個人的に調査した結果がであり内容が正しいことは保証されません。
またAWSサービスは常に改良、アップデートされており本ページの内容が古く誤った内容になる可能性もあります。変更になっても本ページが正しく更新されるとは限りません。
あくまでも参考程度でご覧ください。内容により発生したいかなる時間的損害、金銭的損害、その他の損害に関しても何人も保証しません。