Firewall em Linux: Como Proteger o Seu Servidor (iptables, UFW)

Um servidor exposto à Internet sem firewall é como uma casa com todas as portas e janelas escancaradas. Os ataques automáticos varrem a Internet a toda a hora, à procura de portas abertas e serviços vulneráveis. Um firewall bem configurado é a primeira e mais importante linha de defesa — e em Linux há ferramentas excelentes para o fazer. Este artigo explica como funcionam, sem assumir que é especialista.

O que faz, afinal, um firewall

Um firewall controla que tráfego de rede pode entrar e sair do servidor. Funciona com base em portas — pontos de entrada associados a serviços. Por exemplo, um site usa as portas 80 (HTTP) e 443 (HTTPS); o acesso administrativo via SSH usa tipicamente a porta 22. O firewall decide, para cada porta, quem pode ligar-se.

O princípio fundamental é simples: fechar tudo por defeito e abrir apenas o estritamente necessário. Cada porta aberta é uma potencial via de ataque; quanto menos houver, menor a superfície exposta.

As ferramentas de firewall em Linux

iptables e nftables

São o motor de firewall do próprio kernel Linux. Poderosíssimos e flexíveis, mas com uma sintaxe densa e pouco perdoadora — um erro pode trancar o acesso ao próprio servidor. O nftables é o sucessor mais moderno do iptables, com uma sintaxe mais limpa, mas ambos exigem conhecimento.

UFW (Uncomplicated Firewall)

Como o nome indica, é uma camada simplificada por cima do iptables/nftables. Permite gerir o firewall com comandos legíveis ("permitir porta 443", "bloquear tudo o resto"), ideal para quem quer segurança sólida sem a complexidade da sintaxe de baixo nível. É a opção recomendada para a maioria.

firewalld

Outra interface de gestão, comum em distribuições como o Rocky Linux ou AlmaLinux, organizada por "zonas" de confiança. Cumpre o mesmo objetivo com uma filosofia ligeiramente diferente.

Que portas abrir (e fechar)

Para um servidor web típico, a configuração-base é:

• Abrir 80 e 443 — para o site funcionar (HTTP e HTTPS).
• Abrir a porta de SSH, mas idealmente restrita a endereços IP de confiança, não ao mundo inteiro.
• Abrir portas de email apenas se o servidor envia/recebe correio.
• Fechar tudo o resto, incluindo portas de bases de dados, que nunca devem estar expostas diretamente à Internet.

O erro mais perigoso é deixar a base de dados acessível do exterior — é um convite para roubo de dados.

O perigo de se trancar a si próprio

Há uma armadilha clássica: ao configurar regras de firewall numa sessão remota (SSH), uma regra mal feita pode cortar a sua própria ligação e deixar o servidor inacessível. Por isso, configurar firewall remotamente exige cuidado: testar as regras com mecanismos de reversão automática, ter acesso alternativo de emergência e validar cada passo. É uma das tarefas onde a experiência evita um problema sério.

Para além das portas: proteção contra ataques

Um firewall moderno faz mais do que abrir e fechar portas:

• Limitar tentativas de ligação para travar ataques de força bruta (ex.: bloquear quem tenta adivinhar a password de SSH repetidamente).
• Bloquear endereços ou regiões reconhecidamente maliciosos.
• Integrar com ferramentas como o Fail2ban, que detetam comportamento suspeito e bloqueiam automaticamente os atacantes.

O firewall é o início, não o fim

Um firewall bem configurado bloqueia a esmagadora maioria dos ataques automáticos — mas é uma camada de uma estratégia de segurança mais ampla, que inclui atualizações em dia, acessos protegidos e hardening do sistema. Pense nele como a porta de entrada blindada: indispensável, mas que faz parte de um conjunto. Configurá-lo bem, sem deixar o servidor exposto nem inacessível, é uma daquelas tarefas que compensa entregar a quem o faz com método.