Todos os artigos

firewall

Como configurar um firewall na sua VPS (e por que você precisa de um)

Um servidor recém-criado fica acessível para a internet inteira em poucos minutos — bots inclusos. Um firewall decide quais portas ficam abertas. Veja o que ele faz, a única regra que mantém você seguro e o erro que tranca você do lado de fora.

  • firewall
  • seguranca
  • primeiros-passos
Um firewall na frente de um servidor — quase todas as portas fechadas, uma aberta para o tráfego permitido nas portas 22, 80 e 443, enquanto os bots ricocheteiam.

No momento em que o seu servidor entra no ar, ele passa a ter um endereço público, e a internet inteira consegue alcançá-lo. É exatamente esse o objetivo — você quer que as pessoas visitem o seu site. Mas "a internet inteira" também inclui bots automáticos que passam o dia todo fazendo só uma coisa: batendo em todas as portas de todos os servidores que conseguem encontrar, à procura de uma que tenha ficado aberta.

Você não precisa ser um alvo específico para que isso importe. Os bots não são exigentes: eles escaneiam tudo, o tempo todo. Um firewall é o jeito de garantir que as únicas portas que se abrem sejam aquelas que você quis deixar abertas.

O que um firewall realmente faz

Imagine o seu servidor como um prédio com milhares de portas numeradas — elas se chamam portas (ou ports). Cada serviço rodando na máquina fica escutando em uma delas: um site nas portas 80 e 443, o acesso remoto que você usa para administrar o servidor na porta 22, um banco de dados em outra.

Um firewall é o porteiro. Ele olha cada batida e decide: deixa entrar ou manda embora. Sem ele, toda porta pode potencialmente responder. Com ele, você escolhe a curta lista de portas que se abrem e todas as outras simplesmente não respondem — como se não houvesse nada ali para encontrar.

Por que um servidor novo precisa de um logo no primeiro dia

Um servidor novo costuma ter mais portas abertas do que você imagina. Você instala um programa e ele pode começar a escutar, silenciosamente, em uma porta na qual você nunca mais vai pensar. Toda porta aberta é algo que precisa ficar atualizado e trancado — e uma via de entrada se não estiver.

Um firewall inverte o padrão. Em vez de "tudo está aberto a menos que eu feche", você passa a ter "tudo está fechado a menos que eu abra". Essa única mudança reduz as formas de entrar no seu servidor de milhares para as duas ou três que você realmente usa.

A única regra: abra só o que você usa

Uma boa configuração de firewall é quase entediante, e é justamente esse o ponto. A regra é simples: tudo fechado por padrão, abra as poucas portas de que os seus serviços precisam.

Para um servidor típico, é uma lista curta:

  • 80 e 443 — o tráfego web, para que os visitantes cheguem ao seu site (a 443 é a do HTTPS, aquela por trás do cadeado),
  • 22 — o acesso remoto que você usa para administrar a máquina.

Muitas vezes é só isso. Todo o resto fica fechado. Se mais adiante você adicionar um serviço que precisa da sua própria porta, você abre aquela porta, de propósito — e nada mais.

O erro que tranca você do lado de fora

Existe um jeito clássico de estragar a sua tarde: fechar a porta em que você está sentado. O acesso remoto na porta 22 é como você chega ao servidor. Ligue o firewall com essa porta fechada e você terá se trancado para fora da sua própria máquina — sem jeito de voltar, a não ser pelo console de emergência do seu provedor.

Por isso a ordem importa: garanta que a sua própria via de entrada continue aberta antes de fechar todo o resto. É a única coisa que vale a pena checar duas vezes, toda santa vez.

O atalho

Você pode configurar tudo isso na mão — na maioria dos servidores existe uma ferramenta de firewall padrão, com a sua própria sintaxe para aprender e o seu próprio jeito de trancar você do lado de fora se você errar a ordem. Ou você pode deixar o Server Manager cuidar disso: ele mostra quais portas estão abertas neste momento, fecha as que você não precisa, mantém a sua via de entrada em segurança e não deixa você preso do lado de fora. Você diz para que serve o servidor; ele descobre quais portas devem ficar abertas.

E se um site algum dia parar de carregar logo depois de uma mudança, uma porta fechada é uma das primeiras coisas a verificar — é uma das três camadas que decidem se o seu site está acessível.

Segurança silenciosa

Um firewall não é empolgante, e é exatamente por isso que ele funciona. Configurado do jeito certo, você para de pensar nele: os bots continuam batendo, todas as portas menos a sua ficam fechadas, e o seu servidor simplesmente segue fazendo o trabalho dele.

Ele combina com aquele outro hábito pouco glamouroso que salva você num dia ruim — manter backups que você realmente consegue restaurar. Juntas, essas duas coisas são a maior parte do que "proteger um servidor" realmente significa. Os guias de ajuda vão mais a fundo sempre que você quiser os detalhes.