Bloquear país csf. Bloquear acessos por país é uma prática comum para reduzir ataques automatizados, força bruta e tráfego malicioso. O ConfigServer Security & Firewall (CSF) permite esse controle de forma simples e eficiente, usando geolocalização por IP.
Neste guia prático, você vai aprender como bloquear países inteiros no CSF, boas práticas e impactos reais em segurança e performance.
🧠 Quando vale a pena bloquear países?
Bloqueio por país é recomendado quando:
- Seu site atende apenas um ou poucos países
- Há muitos ataques vindos de regiões específicas
- Você quer reduzir ruído em logs e consumo de recursos
- O servidor hospeda WordPress, painéis administrativos ou APIs privadas
⚠️ Atenção: não é indicado para sites globais ou e-commerces internacionais.
✅ Requisitos
Antes de começar, confirme:
- CSF instalado e ativo
- Servidor com acesso root
- Sistema compatível (AlmaLinux, CloudLinux, CentOS, Rocky, Ubuntu)
Para verificar o CSF:
csf -v #edite o arquivo de configuração do CSF nano /etc/csf/csf.conf
🔎Configure a opção CC_SRC
Altere a opção para “2”. (“2” – db-ip, ipdeny, iptoasn)
🔎Configure a opção CC_LOOKUP
Antes de bloquear, o CSF precisa saber como identificar a origem dos IPs.
- Procure por
CC_LOOKUPno arquivo de configuração. - Certifique-se de que o valor está definido como 1 (padrão).
Dica: O valor 1 usa o banco de dados interno do CSF, que costuma ser suficiente para a maioria dos casos.
🔎Adicione os códigos dos países
Existem duas variáveis principais para controle geográfico:
- CC_DENY: Bloqueia completamente o acesso desses países ao seu servidor.
- CC_ALLOW_FILTER: Permite o acesso apenas dos países listados (útil para servidores muito restritos).
Para bloquear, localize CC_DENY e insira os códigos ISO (dois caracteres) separados por vírgula. Exemplo para bloquear China e Rússia: CC_DENY = "CN,RU". Veja a lista de países com dois dígitos clicando aqui https://www.iban.com/country-codes
🔎Reinicie o Firewall
Para as alterações entrarem em vigor, você precisa reiniciar o serviço:
- Via Terminal:
csf -r - Via Interface: Clique no botão “Restart csf+lfd” ao final da página de configuração.
⚠️ Avisos Importantes
- Consumo de Recursos: Não tente bloquear o mundo inteiro. Cada país adicionado aumenta o número de regras no
iptables. Isso pode deixar o servidor lento se você não tiver memória RAM sobrando. - Falsos Positivos: Lembre-se que serviços de CDN (como Cloudflare) ou rastreadores de busca (como Googlebot) podem ser afetados se você não configurar as listas de permissão corretamente.
- Códigos ISO: Sempre use letras maiúsculas (ex:
US, BR, FR).
🚫 Bloquear países específicos
Exemplo: bloquear China, Rússia e Ucrânia
Use os códigos ISO de país:
CC_DENY = "CN,RU,UA"
Salve o arquivo.
🌐 Permitir apenas países específicos (modo restritivo)
Se quiser permitir somente um país (ex: Brasil):
CC_ALLOW = "BR"
⚠️ Quando CC_ALLOW é usado, todo o resto é bloqueado automaticamente.
🔄 Aplicar as regras
Após qualquer alteração:
csf -r
Para verificar se está ativo:
csf -l
🧪 Testando o bloqueio
Você pode testar usando IPs públicos de outros países ou ferramentas como:
- VPN
curlvia proxy- Logs do CSF:
grep "CC_DENY" /var/log/lfd.log
⚙️ Bloqueio por país afeta performance?
✔️ Impacto mínimo, pois:
- A verificação ocorre antes da aplicação web
- Reduz conexões inúteis
- Diminui carga em PHP, Apache e Nginx
💡 Em ambientes WordPress, o ganho costuma ser indireto, reduzindo ataques a /wp-login.php e /xmlrpc.php.
🔐 Boas práticas recomendadas
- Combine com CrowdSec. Veja Como instalar Crowdsec
- Use
CC_ALLOWapenas se tiver certeza - Monitore falsos positivos
- Não bloqueie países onde serviços externos estão hospedados (CDNs, APIs)
❌ Erros comuns
❌ Bloquear países usados por:
- Cloudflare
- Googlebot
- APIs de pagamento
❌ Esquecer de reiniciar o CSF após alterações
📌 Alternativas ao bloqueio por país
Se quiser algo mais inteligente:
- CrowdSec (bloqueio comportamental)
- Cloudflare WAF
- Rate limit no Nginx
- Firewall de aplicação (ModSecurity)
📈 Conclusão
O ConfigServer Firewall oferece um método simples e eficaz para bloquear países inteiros, reduzindo ataques e tráfego indesejado. Quando bem aplicado, melhora a segurança do servidor sem impacto negativo no desempenho.
FAQ — Bloquear acesso por país no CSF
O bloqueio por país no CSF (ConfigServer Firewall) usa geolocalização de IP para impedir conexões originadas de países específicos, ajudando a reduzir ataques automatizados e tráfego malicioso no servidor.
Sim. O bloqueio por país reduz significativamente tentativas de força bruta, scans de portas e ataques a serviços como SSH, WordPress e painéis administrativos.
Não de forma negativa. Pelo contrário: o CSF bloqueia conexões ainda no nível do firewall, diminuindo o consumo de CPU, memória e processos do servidor web e PHP.
CC_DENY bloqueia países específicos e permite o resto.
CC_ALLOW permite apenas os países definidos e bloqueia todos os outros automaticamente.
Sim. Basta configurar:CC_ALLOW = "BR"
Isso fará com que apenas IPs do Brasil tenham acesso ao servidor.
Depende do tipo de site. Para sites locais, painéis administrativos ou APIs privadas, é seguro e recomendado. Para sites globais ou e-commerces internacionais, pode causar bloqueios indevidos.
Não, desde que você não bloqueie países usados pelo Googlebot. O Google usa IPs de vários países, principalmente EUA. Evite bloqueios amplos sem testes.
Não. Basta recarregar as regras com:csf -r
Sim, e é altamente recomendado.
O CSF faz o bloqueio geográfico, enquanto CrowdSec analisa comportamento, oferecendo uma camada extra de segurança.
Sim. Algumas alternativas são:
CrowdSec (bloqueio comportamental)
Cloudflare WAF
ModSecurity
Rate limit no Nginx
Veja Mais:
Hardening de Servidores Linux: Guia de Segurança Passo a Passo
Fail2Ban vs CrowdSec em Produção: Qual é a Melhor Solução de Segurança para Servidores Linux?
SSH seguro além de mudar a porta