Negar por padrão e permitir só as portas necessárias (ex.: 22, 80, 443). Use firewall no host e ACLs de rede se o provedor oferecer. Documente regras e use gestão de configuração para mantê-las consistentes.
Negar por padrão e lista de permitidos
- Negar por padrão: Bloquear toda entrada (e opcionalmente saída) exceto o que você permitir explicitamente.
- Permitir só portas necessárias: Tipicamente SSH (22), HTTP (80), HTTPS (443). Restrinja SSH a IPs de admin se possível.
- Saída: Muitas vezes permitir toda saída; restrinja se precisar bloquear exfiltração ou limitar destinos.
Ferramentas (Linux)
- iptables: Front-end clássico do netfilter; bem documentado, disponível em todo lugar.
- nftables: Substituição mais nova do iptables; um framework para IPv4/IPv6.
- firewalld: Serviço de nível mais alto; zonas e serviços; bom para workstations e servidores simples.
Boas práticas
- Documentar regras: Comente ou mantenha um doc explicando cada permissão; evite regras "misteriosas".
- Gestão de configuração: Use Ansible, Puppet ou similar para o estado do firewall ser reproduzível e revisado.
- ACLs do provedor: Se o host oferecer ACLs de rede ou security groups, use junto com o firewall do host para defesa em profundidade.
Resumo
Negar por padrão; permitir só SSH, HTTP, HTTPS (e portas específicas da app). Use iptables, nftables ou firewalld; documente e gerencie com gestão de configuração. Combine com ACLs do provedor quando disponível.
