Se você tem um servidor Linux (mesmo que seja um container Docker), ele tem portas abertas. Cada porta é uma porta de entrada para o seu sistema. Se você não fechar o que não usa, está convidando bots e hackers para tentarem a sorte.
Na **AtiveSite**, o protocolo de segurança é **fechar tudo e abrir apenas o necessário**. O **UFW (Uncomplicated Firewall)** é a ferramenta que faz isso de forma simples e rápida no Ubuntu e Debian.
O Protocolo: Deny All, Allow Specific
A regra de ouro de qualquer Firewall é: a lista de permissões deve ser sempre menor que a lista de proibições. O UFW segue esta lógica:
1. Desativar Tudo (O Padrão Seguro)
Seu Firewall deve negar todas as conexões de entrada por padrão. Este é o primeiro comando:
sudo ufw default deny incoming sudo ufw default allow outgoing
Explicação: Negamos tudo o que tenta entrar (`deny incoming`) e permitimos tudo o que o servidor tenta buscar (atualizações, conexões com banco de dados, `allow outgoing`).
2. Abertura Cirúrgica (O Essencial)
Agora, você abre apenas as portas que seu site usa. Estas são as portas obrigatórias:
- **SSH (Porta 22):** Para você logar e gerenciar o servidor.
- **HTTP (Porta 80):** Para o tráfego não criptografado.
- **HTTPS (Porta 443):** Para o tráfego criptografado (SSL/TLS).
sudo ufw allow ssh # Permite a porta 22 sudo ufw allow http # Permite a porta 80 sudo ufw allow https # Permite a porta 443
3. O Comando de Ligar (Ligar o Firewall)
**AVISO CRÍTICO:** Não rode este comando antes de permitir o SSH. Se você ligar o Firewall antes de permitir o SSH, você será trancado para fora do servidor.
sudo ufw enableCasos de Uso Avançados
| Serviço | Porta | Comando UFW |
|---|---|---|
| MySQL/Postgres | 3306 / 5432 | sudo ufw allow 5432/tcp (Apenas se for acesso externo) |
| DNS (Alternativo) | 53 | sudo ufw allow 53/udp (Se for servidor DNS) |
| Monitoring (Prometheus) | 9090 | sudo ufw allow from IP_ESPECIFICO to any port 9090 (Permite apenas seu IP). |
FAQ: Dúvidas Cruciais sobre Firewall
1. O Firewall substitui o Antivírus?
Não. O Firewall (UFW) é um **porteiro**. Ele decide quem pode entrar. O Antivírus (Windows Defender) é um **vigia** interno. Ele verifica se o código que já entrou é malicioso. Você precisa dos dois.
2. E se eu fechar a porta 22 por engano?
Você perde o acesso SSH ao servidor e só poderá recuperá-lo usando a console de acesso da sua hospedagem (Ex: DigitalOcean Console). É um erro muito comum e muito doloroso.
3. O que são os ‘Port Knocking’?
É uma técnica de segurança avançada onde você só consegue abrir a porta SSH enviando uma sequência específica e oculta de pacotes para outras portas. Isso torna o servidor invisível para scanners de portas comuns.
4. Devo usar o Firewall no meu PC doméstico?
Sim. O Windows já vem com o Firewall do Defender (que é bom). No Linux/Mac, o UFW/PF deve ser usado. A regra ‘deny incoming’ protege contra softwares maliciosos que tentam abrir portas de saída no seu PC.
5. O que são ‘Stateful Firewalls’?
São firewalls inteligentes que monitoram o estado das conexões. Se o seu PC enviou uma requisição para o Google, o Stateful Firewall automaticamente permite que o Google envie a resposta de volta, sem a necessidade de uma regra de entrada explícita.
6. Posso usar nomes em vez de números de porta?
Sim. O UFW entende nomes de serviços comuns como `ssh`, `http`, `https`. O uso de nomes (Ex: `sudo ufw allow http`) é mais legível e menos propenso a erros de digitação.
7. Meu servidor está atrás do Cloudflare/CDN. Preciso de Firewall?
Sim! O Firewall do servidor é a segunda camada de proteção. O Cloudflare (CDN) protege contra ataques DDoS, mas se o atacante descobrir o IP real do seu servidor, o Firewall UFW é a única coisa que impede o acesso direto.
8. Como eu restauro o UFW se der erro?
Você pode usar `sudo ufw reset`. Este comando desliga e reseta todas as regras do firewall. Depois de rodar, você precisará começar o processo de `deny incoming` e `allow` novamente.
Conclusão
O Firewall é a primeira regra da segurança. Não deixe seu servidor como um livro aberto. Instale o UFW, feche o que não usa e garanta que apenas as conexões legítimas cheguem ao seu código.
Firewall UFW: O Guia Básico para Proteger Seu Servidor Linux (VPS)
Tags para suas próximas buscas:
Firewall UFW, IPtables, Segurança Linux, VPS Firewall, Deny All, Portas de Servidor, SSH Security, Cibersegurança, UFW Tutorial, Port Knocking.
