Configuração do firewall OVH

By HelpSysAdminGerenciamento de Servidor, Linux, Segurança

Configuração do firewall OVH é uma excelente camada de segurança adicional ao firewall interno do seu servidor (como iptables, ufw ou firewalld). Ele bloqueia tráfego indesejado antes mesmo de chegar à interface de rede do seu servidor, economizando recursos de CPU e largura de banda.

Aqui está um guia passo a passo para configurar o Firewall de Rede da OVH, focado em evitar erros comuns (como bloquear o próprio acesso).

1. Entendendo a Lógica (Antes de Começar)

O Firewall da OVH funciona com regras numeradas de Prioridade (0 a 19).

  • Regra 0: É a primeira a ser lida.
  • Regra 19: É a última a ser lida.
  • Assim que um pacote de dados corresponde a uma regra, a ação (Autorizar ou Recusar) é tomada e a leitura para.

Estratégia Recomendada (Whitelist): A maneira mais segura é autorizar explicitamente o que você precisa (SSH, HTTP, HTTPS) nas prioridades baixas (0, 1, 2…) e recusar todo o resto na prioridade mais alta (19).

2. Acessando o Painel

  1. Faça login no OVH Manager.
  2. No menu superior, vá para Bare Metal Cloud.
  3. No menu à esquerda, clique em Network e depois em IP.
  4. Localize o IP do seu servidor na lista.
  5. Clique nos ... (três pontos) ao lado do IP e selecione Criar Firewall (se ainda não existir) ou Configurar o Firewall.

3. Habilitando o Firewall

Antes de criar regras, você deve ativar o modo de mitigação:

  1. Nos ... do IP, clique em Ativar o Firewall (Enable Firewall).
  2. O ícone do escudo ficará verde ou aparecerá o status “Ativado”.

4. Criando as Regras (Passo a Passo)

Para adicionar regras, clique nos ... do IP e selecione Configurar o Firewall. Você verá uma tabela vazia. Clique em Adicionar uma regra.

Regra A: Liberar o SSH (CRUCIAL)

Faça isso primeiro para não se trancar para fora.

  • Prioridade: 0
  • Ação: Autorizar
  • Protocolo: TCP
  • IP de origem: Deixe em branco (para liberar para todos) ou coloque apenas seu IP fixo de internet (para segurança máxima).
  • Porta de origem: Deixe em branco.
  • Porta de destino: 22 (ou a porta personalizada do seu SSH).
  • Estado: Novo (New) ou deixe em branco.

Regra B: Liberar Web (HTTP/HTTPS) e Painéis

Se você hospeda sites ou usa cPanel/DirectAdmin/Plesk.

  • Prioridade: 1
  • Ação: Autorizar
  • Protocolo: TCP
  • Porta de destino: 80 (HTTP)
  • Prioridade: 2
  • Ação: Autorizar
  • Protocolo: TCP
  • Porta de destino: 443 (HTTPS)

(Repita o processo para portas de painéis como 2083, 2087, 8080, se necessário).

Regra C: Permitir conexões estabelecidas (TCP Established)

Isso é vital. Se o seu servidor tentar baixar uma atualização (apt/yum) ou responder a um ping, ele precisa receber a resposta de volta.

  • Prioridade: 10
  • Ação: Autorizar
  • Protocolo: TCP
  • Opções TCP: Selecione Established.

Regra D: Bloquear todo o resto (O “Muro”)

Esta deve ser sempre a sua última regra.

  • Prioridade: 19
  • Ação: Recusar
  • Protocolo: IPv4 (Isso seleciona todos os protocolos: TCP, UDP, ICMP, etc).
  • IP de origem/destino: Deixe em branco.

5. Exemplo de Tabela Final

Sua tabela no painel da OVH deve ficar parecida com isto para um servidor web básico:

PrioridadeAçãoProtocoloPorta DestinoNotas
0AutorizarTCP22Acesso SSH
1AutorizarTCP80Web HTTP
2AutorizarTCP443Web HTTPS
3AutorizarUDP53DNS (Se for servidor DNS)
10AutorizarTCPOpção: Established (Respostas)
11AutorizarICMPPermitir Ping (Opcional)
19RecusarIPv4Bloqueia todo o resto

Dicas Importantes e Avisos

  • UDP: Se você usa jogos ou VPNs (OpenVPN/Wireguard) que usam UDP, lembre-se de criar regras Autorizar com protocolo UDP nas portas específicas antes da regra 19.
  • Demora na Aplicação: As regras na OVH podem levar de 30 segundos a 2 minutos para serem propagadas.
  • Firewall Local: Nunca desative seu firewall local (iptables/ufw). O firewall da OVH é uma proteção de borda; o local é sua última linha de defesa e permite controles mais finos (como bloquear por tentativas de login).
  • Mitigação Permanente: Por padrão, a OVH só ativa essas regras se detectar um ataque. Para que essas regras funcionem sempre, vá nas configurações do IP e mude o modo de mitigação de “Automático” para “Mitigação Permanente” (Permanent Mitigation).

Clique aqui e consulte nossos planos de Gerenciamento de Servidor

Veja Mais: Guia Completo do DirectAdmin para Administradores | Instalação, Segurança e Performance
Veja Mais: Como Proteger seu Servidor Linux Contra Invasões: O Guia Essencial de Hardening
Veja Mais: Como configurar lemp com wordpress e let´s encrypt
Veja Mais: Como instalar Engintron(NGINX) cPanel/WHM

See more: How to install Glances to monitor the server