Servidores & Infraestrutura

Configuração de Firewall Linux para servidor:
política default-deny, iptables UFW e Fail2ban

Um servidor Linux sem firewall corretamente configurada é uma porta aberta para ataques automatizados — estudos mostram que um novo servidor sem proteção recebe as primeiras tentativas de intrusão em menos de 10 minutos após ficar online. Configuramos a firewall do vosso servidor com política default-deny, regras específicas por serviço, rate limiting e Fail2ban para bloquear brute force em tempo real. A primeira e mais crítica linha de defesa da vossa infraestrutura, aplicada por especialistas em segurança Linux em Portugal.

Política default-deny Fail2ban configurado Documentação completa
O que é e como funciona

Configuração firewall VPS com proteção real: iptables UFW e bloqueio ativo

Uma firewall Linux não é apenas "bloquear portas". É definir com precisão o que pode entrar, o que pode sair, e o que acontece quando algo tenta ultrapassar essas regras.

Política default-deny

Todo o tráfego de entrada é bloqueado por padrão. Abrimos apenas as portas explicitamente necessárias para o funcionamento dos vossos serviços — 80, 443, SSH em porta personalizada.

Bloqueio dinâmico com Fail2ban

Fail2ban monitoriza logs em tempo real e bloqueia automaticamente IPs que tentam brute force — SSH, WordPress, painéis de admin. Proteção que se adapta às ameaças ativas.

UFW, nftables ou CSF

Escolhemos a ferramenta certa para o contexto: UFW para servidores simples, nftables para performance e scripts avançados, CSF para servidores cPanel com interface web integrada.

O que está incluído

Tudo o que recebe na configuração de firewall Linux

Configuração completa, testada e documentada. Não deixamos nenhuma porta desnecessária aberta.

Política default-deny de entrada — bloqueio de todo o tráfego de entrada por padrão, com abertura apenas das portas estritamente necessárias para os serviços em produção.
Regras por serviço — abertura específica de 80/443 para web, SSH numa porta personalizada, SMTP/IMAP/POP3 se aplicável, e outras portas de aplicação com justificação documentada.
Rate limiting e proteção contra port scans — limites de conexões por IP para travar port scans automatizados e ataques de volume antes de atingirem a camada de aplicação.
Fail2ban configurado por serviço — instalação e configuração de Fail2ban para SSH, painel de administração, WordPress login e outros serviços expostos, com bloqueio automático e alertas.
Acesso SSH restrito por IP — restrição do acesso SSH e ao painel de administração a IPs específicos (escritório, VPN corporativa) para eliminar ataques externos completamente.
Geo-blocking opcional — bloqueio de tráfego de países com altos volumes de ataques e sem utilizadores legítimos, usando listas de IPs por país atualizadas.
Regras para Docker e serviços internos — quando o servidor usa Docker ou serviços como Redis e MySQL, configuração para que portas internas não sejam expostas externamente por acidente.
Testes de verificação completos — verificação com ferramentas externas de que todas as portas corretas estão acessíveis e as incorretas estão bloqueadas, antes de entregar o trabalho.
Documentação de todas as regras — documento completo com cada regra aplicada, o seu propósito e instruções de como adicionar ou remover regras no futuro sem quebrar a política.
Casos de uso reais

Quando a configuração de firewall Linux resolve problemas concretos

VPS novo sem proteção

Empresa arrenda um VPS para hospedar a aplicação interna. Sem firewall configurada, o servidor fica exposto a scanning automático. Configuramos política default-deny, SSH restrito por IP do escritório e Fail2ban antes de qualquer outra configuração.

Logs cheios de tentativas SSH

Administrador verifica os logs do servidor e encontra milhares de tentativas de login SSH por hora. Mudamos a porta do SSH, bloqueamos a 22 e configuramos Fail2ban com thresholds agressivos. Volume de tentativas desce para próximo de zero.

Base de dados exposta externamente

Servidor com MySQL na porta 3306 acessível externamente por erro de configuração — situação mais comum do que parece. Fechamos a porta 3306 na firewall, verificamos todas as outras portas internas e configuramos regras para Docker garantir que serviços internos ficam internos.

WordPress sob ataque de brute force

Site WordPress com centenas de tentativas de login por dia, a consumir recursos do servidor. Configuramos rate limiting na firewall para wp-login.php, Fail2ban com jail específico para WordPress e geo-blocking dos países de origem dos ataques nos logs.

Como implementamos

O processo de configuração de firewall Linux, passo a passo

01

Auditoria do servidor

Antes de aplicar qualquer regra, auditamos o estado atual: que serviços estão a correr, que portas estão abertas, que tráfego está a entrar. Esta análise evita bloquear portas que o servidor precisa e identificamos exposições desnecessárias.

02

Definição das regras necessárias

Com base na auditoria e nos serviços que o servidor deve expor, definimos o conjunto mínimo de portas a abrir. Documentamos cada regra antes de a aplicar, com a justificação do porquê.

03

Aplicação em sessão segura

Aplicamos as regras com precaução para não nos bloquearmos do servidor. Usamos técnicas de aplicação temporária e reversão automática para garantir acesso mesmo se uma regra for incorreta.

04

Instalação e configuração do Fail2ban

Instalamos Fail2ban e configuramos jails para cada serviço exposto. Definimos thresholds, tempos de bloqueio e ações. Testamos o comportamento com tentativas de login controladas para validar que o bloqueio funciona corretamente.

05

Verificação externa e entrega

Verificamos de fora do servidor que apenas as portas corretas estão acessíveis. Entregamos documentação completa e explicamos como gerir as regras no futuro.

Tecnologias utilizadas

Ferramentas que usamos na configuração de firewall Linux

UFW e nftables

UFW para gestão simplificada em Ubuntu/Debian, nftables para rulsets avançados com melhor performance em servidores de alto tráfego. Escolhemos a ferramenta certa para cada contexto.

Fail2ban

Monitorização de logs em tempo real com bloqueio dinâmico de IPs maliciosos. Jails configurados para SSH, WordPress, painéis web e qualquer outro serviço exposto.

CSF (ConfigServer Firewall)

Para servidores cPanel/WHM, CSF integra firewall, login failure daemon e interface web numa única solução. Inclui bloqueio automático de IPs, listas negras e alertas por email.

Porquê a Vuvo Hosting

Firewall Linux configurada por especialistas com contexto real de produção

Configuração contextualizada

Não aplicamos templates genéricos. As regras são definidas com base nos serviços reais do vosso servidor — sem bloquear o que precisa de funcionar, sem deixar aberto o que deve estar fechado.

Sem downtime durante configuração

Usamos técnicas de aplicação segura que garantem que o servidor continua acessível durante a configuração. A janela de risco é praticamente zero.

Documentação que a equipa percebe

Entregamos documentação em português que explica cada regra em linguagem clara — não apenas o comando técnico, mas o porquê de cada decisão de configuração.

Parte de uma estratégia mais ampla

Firewall é a primeira camada. Combinamos com hardening do servidor, backups automáticos e monitorização para uma infraestrutura verdadeiramente segura.

O vosso servidor tem as portas certas abertas — e as erradas fechadas?

Fazemos uma auditoria gratuita de 30 minutos e mostramos o estado atual da firewall. Sem compromisso, com recomendações concretas.

Perguntas frequentes

Dúvidas sobre configuração de firewall Linux

Qual a diferença entre UFW, iptables, nftables e CSF?

iptables e nftables são as ferramentas de firewall integradas no kernel Linux — extremamente poderosas mas com sintaxe complexa e propensa a erros. UFW (Uncomplicated Firewall) é uma interface simplificada sobre iptables e nftables, ideal para servidores Ubuntu e Debian onde a maioria das regras são diretas. ConfigServer Security & Firewall (CSF) é uma solução mais completa orientada para servidores de hosting: tem interface web, deteção de login failures, integração com cPanel/WHM e funcionalidades avançadas de bloqueio. Para um VPS simples com Nginx e WordPress, UFW chega. Para um servidor de hosting com múltiplas contas, CSF é o mais indicado.

O que é uma política default-deny e porque é tão importante?

Política default-deny significa que todo o tráfego de entrada é bloqueado por padrão, a menos que exista uma regra explícita que o permita. É o oposto de default-allow, onde tudo entra exceto o que está explicitamente bloqueado. Para qualquer servidor de produção, default-deny é o princípio correto: abrimos apenas as portas estritamente necessárias — 80 e 443 para web, SSH numa porta personalizada, portas de email se aplicável — e bloqueamos absolutamente todo o resto. Um servidor sem esta política tem centenas de portas abertas desnecessariamente, o que aumenta drasticamente a superfície de ataque.

Como o Fail2ban complementa o firewall Linux?

O firewall estático é como um guarda permanente nas portas do servidor: bloqueia ou permite tráfego com base em regras fixas. Fail2ban é um guarda dinâmico que monitoriza os logs em tempo real e bloqueia automaticamente IPs que demonstram comportamento suspeito — múltiplas tentativas de login SSH falhadas, ataques de brute force ao WordPress, scans de portas repetidos. Sem Fail2ban, um IP malicioso pode tentar acesso indefinidamente mesmo com boas regras de firewall. Juntos, cobrem ameaças estáticas e dinâmicas de forma complementar.

O que é geo-blocking e quando compensa implementar?

Geo-blocking bloqueia todo o tráfego originado em determinados países com base em listas de IPs georreferenciados. Compensa implementar quando os logs mostram volumes anormalmente altos de tentativas de ataque vindas de países específicos e o serviço não tem utilizadores legítimos nessas regiões. Não é uma medida de segurança infalível — VPNs e proxies ultrapassam facilmente o geo-blocking — mas reduz significativamente o ruído de ataques automatizados, alivia os logs e diminui a carga sobre o Fail2ban. É uma medida de redução de superfície, não de segurança absoluta.

Porque devo mudar a porta padrão do SSH?

O SSH corre por padrão na porta 22, e essa porta é varrida constantemente por bots automáticos em busca de servidores acessíveis. Mudar para uma porta não padrão — como 22022 ou outra à escolha — não substitui uma boa política de segurança, mas elimina praticamente toda a atividade de scanning automatizado. O resultado imediato é visível nos logs: de centenas de tentativas por hora para praticamente zero. Combinado com autenticação por chave pública e Fail2ban, o risco de acesso não autorizado por SSH desce para níveis muito próximos de zero.

O firewall afeta a performance do servidor?

O impacto na performance de um firewall bem configurado é negligenciável em servidores modernos. A filtragem de pacotes no kernel Linux é extremamente eficiente. O único cenário onde a firewall pode afetar performance é com rulsets muito extensos (centenas de milhares de regras) ou com funcionalidades de Deep Packet Inspection ativas — o que está fora do âmbito de uma configuração standard. Para a esmagadora maioria dos servidores VPS e dedicados, a firewall não é um bottleneck.

Como é feita a manutenção das regras após a configuração inicial?

Entregamos documentação completa de todas as regras aplicadas, com explicação do propósito de cada uma. Sempre que é adicionado um novo serviço ao servidor — um novo porto de aplicação, um serviço de monitorização, um acesso de terceiro — as regras precisam de ser atualizadas. Fazemos isso como parte do serviço de gestão ou em pedido avulso. Também fazemos revisões periódicas das regras para remover entradas desatualizadas e ajustar ao estado atual do servidor.

Servidor protegido com política default-deny e Fail2ban ativo

Diagnóstico gratuito de 30 minutos. Proposta com custo fixo e prazo garantido. Sem compromisso.

Veja também: Servidores & Infraestrutura · Hardening de Servidores Linux · Configuração WAF