Configuração de Firewall Linux:
servidor protegido com política default-deny e Fail2ban
Configuração de firewall Linux com UFW, nftables ou CSF: política default-deny, rules específicas por serviço, rate limiting, Fail2ban para brute force e monitorização de tentativas de acesso. A primeira linha de defesa do vosso servidor.
O que está incluído
Tudo o que recebe na configuração de firewall Linux
Política default-deny de entrada — configuração de política de bloquear todo o tráfego de entrada por padrão, com abertura apenas das portas explicitamente necessárias.
Rules por serviço — abertura de portas específicas para cada serviço: 80/443 (web), SSH em porta personalizada, SMTP/IMAP/POP3 para email quando aplicável.
Rate limiting e conexões — limitação de número de conexões por IP para proteção básica contra port scans e tentativas de brute force antes de atingir o Fail2ban.
Fail2ban configurado — instalação e configuração de Fail2ban para SSH, painel de administração, WordPress e outros serviços expostos, com bloqueio automático de IPs maliciosos.
Acesso restrito por IP (opcional) — restrição de acesso SSH ou ao painel de administração a IPs específicos (escritório, VPN) para eliminar ataques externos.
Geo-blocking (opcional) — bloqueio de tráfego de países específicos com altos volumes de ataques e sem utilizadores legítimos, usando listas de IPs por país.
Regras para Docker e servicós internos — quando o servidor usa Docker ou serviços internos (Redis, MySQL sem exposição externa), configuração correta para não expor portas internas.
Teste e documentação das regras — verificação de que todas as portas corretas estão acessíveis e as incorretas bloqueadas, com documentação de todas as rules e como alterar no futuro.