Firewall UFW para VPS Ubuntu
UFW facilita a configuração de firewall no Ubuntu, mas a ordem das regras continua sendo decisiva. Este guia mostra como ativar sem perder acesso SSH, como liberar apenas o necessário e como revisar regras quando Docker e serviços web entram em cena.
Mentalidade default deny
Política default deny significa que entrada de tráfego é exceção, não regra. Isso evita exposição acidental de serviços internos como banco, painel ou endpoint de teste que ficou aberto durante deploy.
Um exemplo comum é liberar 5432 para testar PostgreSQL e esquecer de fechar. Com processo baseado em UFW e revisão de regras, esse tipo de vazamento cai bastante. Para base de acesso remoto, combine com SSH seguro em VPS Linux e mantenha senha remota desativada.
Fluxo seguro antes do primeiro enable
- Defina política padrão: deny incoming e allow outgoing.
- Libere SSH na porta real em uso, não apenas no valor padrão por costume.
- Abra uma segunda sessão SSH e confirme login antes de ativar o firewall.
- Ative o UFW e confira imediatamente
status numbered.
Alterar porta SSH sem ajustar a regra correspondente costuma causar bloqueio de acesso. Mantenha console de recuperação pronto antes de mudanças sensíveis.
Regras comuns: web, game e DB
Web
Para sites públicos, o padrão é liberar 80 e 443 no host. Serviços internos da aplicação podem ficar em localhost atrás de proxy reverso sem exposição direta para internet.
- Abra apenas portas que têm serviço ativo e documentado.
- Revise exceções temporárias após deploy ou migração.
Game
Servidores de jogo exigem atenção no protocolo e na porta real. Em projetos Minecraft com comunidade maior, separar proxy e backend ajuda na organização do tráfego. Se preferir estrutura pronta, veja Minecraft Pro como alternativa gerenciada.
| Serviço | Porta típica | Sugestão |
|---|---|---|
| SSH | 22 ou custom | Preferir origem restrita |
| HTTP | 80/tcp | Necessário para redirect e desafio ACME |
| HTTPS | 443/tcp | Canal principal em produção |
| PostgreSQL | 5432/tcp | Manter privado sempre que possível |
IPv6, log e status
Se o domínio resolve com AAAA, as regras de IPv6 precisam refletir a mesma política de IPv4. Caso contrário, um serviço bloqueado em IPv4 pode seguir acessível em IPv6 sem você perceber.
Use logs em nível moderado para diagnóstico e mantenha revisão de regras por número. Verifique o arquivo /etc/default/ufw para defaults IPV6 e aplique reload após qualquer alteração.
Comando status numbered facilita deletar regra errada com delete sem adivinhar ordem mentalmente.
UFW com Docker e armadilhas
Docker publica portas no host e pode inserir regras que mudam o comportamento esperado do UFW. Por isso, cada novo compose deve passar por checagem de portas expostas e origem permitida.
Exemplo prático: publicar -p 5432:5432 para facilitar migração de banco costuma deixar o serviço visível para internet se não houver bloqueio explícito. Mantenha essa prática apenas em janelas curtas e documentadas. Para setup inicial, consulte instalar Docker no Ubuntu VPS.
Em automação com n8n, trate a interface administrativa como serviço sensível. Use TLS, autenticação forte e restrição de origem quando possível. Se quiser reduzir a etapa manual, existe o VPS n8n 1-Click já preparado. Para VPS padrão, veja também VPS Ryzen.
- Salvar estado de regras antes de alterações maiores.
- Anotar data de remoção de exceções temporárias.
- Revisar regras numeradas em rotina mensal.
- Confirmar monitoramento após cada ajuste de porta.
Perguntas frequentes
- UFW substitui security group do provedor?
- Não. O ideal é usar os dois. Security Group filtra no nível do provedor e o UFW protege dentro da máquina virtual com regras que você controla diretamente.
- Esqueci de liberar SSH e travei?
- Use console web do provedor ou rescue mode para entrar sem SSH tradicional e remover regra ou resetar ufw. Por isso habilite console antes de experimentos.
- UFW mostra active mas porta não filtra?
- Isso pode acontecer quando outra regra de iptables entra antes ou quando o Docker publica porta automaticamente. Verifique cadeia de regras e portas publicadas por container.
- Preciso allow from anywhere?
- Para site público, HTTP e HTTPS normalmente ficam abertos. Para SSH e painel administrativo, prefira limitar por IP de origem ou via VPN.
Próximo passo
Ver VPS Ryzen
VPS Ryzen 9 9950X em SP com root, NVMe e AntiDDoS gamer.
Guias relacionados
SSH seguro em VPS Linux: chaves, senhas, fail2ban e hábitos que evitam invasão
SSH costuma ser o primeiro alvo em qualquer VPS com IP público. Este guia mostra um fluxo prático para reduzir risco sem complicar a rotina: chave ED25519, login sem senha, acesso administrativo com sudo, bloqueio de tentativas automáticas e revisão periódica de chaves autorizadas.
Como instalar Docker no Ubuntu 22.04 ou 24.04 em VPS (guia direto ao ponto)
Instalar Docker em VPS Ubuntu com estabilidade depende de fonte de pacote correta e validação em etapas. Neste guia, você configura repositório oficial, instala Engine e Compose, testa o daemon e aplica cuidados básicos de segurança antes de subir aplicações.
Hospedar n8n em VPS no Brasil: automação com baixa latência e boas práticas
Hospedar n8n em VPS no Brasil ajuda em integrações que dependem de APIs locais e previsibilidade de resposta. Este guia cobre arquitetura com Docker, proxy TLS, proteção de credenciais e estratégia de backup para evitar perda de fluxos.