Firewall UFW para VPS Ubuntu
UFW é frontend simples para iptables/nftables que salva iniciantes de sintaxe arcana, mas ordem de regras e política default ainda travam gente fora do servidor. Este guia cobre fluxo seguro: garantir SSH antes de enable, liberar serviços mínimos e documentar exceções temporárias.
Mentalidade default deny
Servidor novo costuma nascer com tudo escutando no mundo porque pacote instalado abriu porta e você nem notou. Firewall bem mantido força decisão consciente: cada entrada é documentada com motivo e owner. Isso reduz superfície quando CVE aparece em serviço esquecido de demo.
Endurecimento SSH combina com firewall: veja SSH seguro em VPS Linux antes de brigar só com UFW enquanto senha ainda existe.
Fluxo seguro antes do primeiro enable
- sudo ufw default deny incoming e sudo ufw default allow outgoing.
- sudo ufw allow OpenSSH ou porta custom equivalente documentada.
- sudo ufw status verbose e nova sessão SSH de teste antes de enable.
- sudo ufw enable somente após confirmação em duas abas ou console pronto.
Mudar porta SSH sem atualizar regra UFW primeiro é forma rápida de usar console às três da manhã. Planeje ordem.
Regras comuns: web, game e DB
Web
HTTP e HTTPS públicos costumam usar allow 80,443/tcp. Reverse proxy atrás do mesmo host pode precisar apenas localhost no serviço upstream se você bindar safe.
Game
Minecraft Java usa porta UDP/TCP conforme versão e proxy; não copie tutorial genérico sem olhar seu topology. Para hospedagem gamer gerenciada StreetHosting, avalie Minecraft Pro quando não quiser martelar iptables para comunidade inteira.
| Serviço | Porta típica | Sugestão |
|---|---|---|
| SSH endurecido | 22 ou custom | Restringir origem se possível |
| HTTP | 80/tcp | Público se site |
| HTTPS | 443/tcp | TLS obrigatório produção |
| PostgreSQL | 5432/tcp | Nunca público sem tunel |
IPv6, log e status
Se AAAA resolve para sua VPS, firewall precisa negar IPv6 também ou atacante ignora camada IPv4. Verifique arquivo /etc/default/ufw para defaults IPV6 e aplique reload coerente. Logging moderate ajuda debug mas não substitui IDS completo.
Comando status numbered facilita deletar regra errada com delete sem adivinhar ordem mentalmente.
UFW com Docker e armadilhas
Docker manipula iptables para publicar containers. UFW sozinho pode não refletir intuitivamente o que está exposto quando usa flag -p ampla. Leia docs atualizadas sobre integração ou estratégias alternativas userland proxy. Boas práticas incluem não bindar 0.0.0.0 sem necessidade e revisar após cada stack nova. Veja base em instalar Docker no Ubuntu VPS.
Automatização tipo n8n em VPS BR frequentemente expõe painel web: combine TLS, senha forte e allow só IPs staff quando viável. Produto VPS n8n 1-Click reduz passos manuais enquanto você aprende rede. Hardware KVM está em VPS Ryzen.
- Backup de rules antes de mudanças grandes.
- Documentar porta temporária com data de remoção.
- Revisão trimestral de status numbered.
- Alerta se monitoring não alcança host após change.
Perguntas frequentes
- UFW substitui security group do provedor?
- Camadas diferentes. Ideal usar ambos: Security Group hipervisor fecha ruído antes do SO. UFW protege mesmo se VM migrar ou política externa falhar.
- Esqueci de liberar SSH e travei?
- Use console web do provedor ou rescue mode para entrar sem SSH tradicional e remover regra ou resetar ufw. Por isso habilite console antes de experimentos.
- UFW mostra active mas porta não filtra?
- Outra tabela pode estar aceitando antes, ou Docker publicou iptables direto. Diagnosticar com cuidado para não expor DB sem querer.
- Preciso allow from anywhere?
- Para HTTP público sim. Para SSH administre ideally IP fixo ou bastion. Para painel interno restrinja origem.
Próximo passo
Ver VPS Ryzen
VPS Ryzen 9 9950X em SP com root, NVMe e AntiDDoS gamer.
Guias relacionados
SSH seguro em VPS Linux: chaves, senhas, fail2ban e hábitos que evitam invasão
SSH é porta mais batida da internet em VPS novo. Este guia organiza camadas baratas: autenticação por chave, desativação de senha para login remoto, usuário não privilegiado com sudo, jail de tentativas com fail2ban e firewall que só libera o necessário.
Como instalar Docker no Ubuntu 22.04 ou 24.04 em VPS (guia direto ao ponto)
Docker em VPS Ubuntu começa pelo repositório oficial da Docker Inc., não por pacotes aleatórios do universe sem atualização previsível. Depois de instalar Engine e plugin Compose, você valida com container de teste, ajusta permissões de usuário não-root e só então expõe portas com firewall disciplinado.
Hospedar n8n em VPS no Brasil: automação com baixa latência e boas práticas
n8n centraliza integrações e agentes leves sem depender só de SaaS gringo com latência alta para APIs brasileiras. Em VPS SP você cola seu stack perto de ERPs, gateways de pagamento e times que falam horário comercial BR. Este guia cobre caminho Docker, segurança web e disciplina de dados.