iptables 和 EC2 的“安全組”的主要區別是什麼？

如果我通過安全組阻止流量，我認為我不必為此付費。

但是，如果我通過安裝在我的伺服器上的 iptables 阻止流量，那麼我認為將是我為我阻止的任何傳入流量付費。

iptables 可以做一些安全組不能做的事情嗎？

我之所以問，是因為我正在研究減輕對我的 Web 伺服器的 DDoS 攻擊。謝謝。

有一件事是肯定的 - 如果您使用安全組，過濾後的流量永遠不會到達您的伺服器，因此它減少了伺服器處理防火牆規則所需的負載。如果您談論 DDoS，這一點很重要。

安全組似乎只有簡單的過濾規則，而使用 iptables 你可以做一些非常奇特的事情。但是你需要它們嗎？就我個人而言，如果您需要比安全組允許的更複雜的東西，我會盡可能多地使用安全組進行過濾，然後在 iptables 上進行下一階段。沒有什麼可以阻止您在兩者上設置相同的過濾器 - 然後您將受到雙重保護；-)

引用自：https://serverfault.com/questions/285595