Firewall simples evita muita dor de cabeça
Um servidor recém-criado pode ter serviços escutando em portas que não deveriam estar públicas. Firewall define o que entra, o que sai e o que fica bloqueado. UFW simplifica regras no Ubuntu e Debian. nftables é a camada moderna e flexível para quem precisa de controle avançado.
Em uma VPS, a regra inicial deve ser clara: negar entrada por padrão e liberar apenas o necessário. Para servidor web, normalmente SSH, HTTP e HTTPS bastam. Banco, Redis, painéis internos e métricas devem ficar restritos.
UFW para começar
UFW é amigável. Com poucos comandos, você define política padrão e libera portas. Antes de ativar, garanta que SSH está permitido, para não perder acesso. Use regras por IP quando possível para portas administrativas.
nftables para controle fino
nftables permite regras mais avançadas, conjuntos, famílias inet e integração moderna com IPv4 e IPv6. É indicado quando há necessidade de políticas complexas, múltiplas interfaces ou automação. A documentação do nftables wiki é referência neutra.
IPv6
Não esqueça IPv6. Muitas configurações protegem IPv4 e deixam IPv6 aberto. Verifique regras para ambos os protocolos, principalmente se publicar registros AAAA no DNS.
Logs
Logs ajudam a entender tentativas de acesso e bloquear abuso, mas excesso de log pode encher disco. Registre eventos importantes e use rotação.
Checklist
- Negar entrada por padrão.
- Liberar SSH apenas para IPs confiáveis quando possível.
- Liberar HTTP e HTTPS para web.
- Bloquear banco e cache para internet pública.
- Revisar IPv6.
- Salvar regras e testar reboot.
Conclusão
Firewall não resolve tudo, mas reduz exposição imediatamente. Com UFW ou nftables, uma VPS fica mais segura sem complexidade excessiva. O segredo é liberar apenas o necessário e revisar sempre que novos serviços forem instalados.
Nenhum comentário ainda. Seja o primeiro a comentar!