Passo a passo para configurar firewall com nftables em VPS Linux e servidor dedicado

Introdução

Proteger seu VPS Linux ou servidor dedicado é fundamental para garantir estabilidade e segurança. O nftables é a ferramenta moderna recomendada para gerenciar firewalls em distribuições Linux atuais, substituindo o iptables. Neste passo a passo, você aprenderá como configurar um firewall eficiente com nftables, seguindo boas práticas e orientações para ambientes de produção.

Passo a passo para configurar firewall com nftables

1. Pré-requisitos e boas práticas
   • Tenha acesso root ou sudo ao seu servidor.
   • Faça backup das configurações atuais antes de qualquer alteração:

   • sudo cp /etc/nftables.conf /etc/nftables.conf.bkp

   • Garanta acesso alternativo ao servidor (ex: console via painel AviraHost) para evitar lockout.
2. Instale o nftables
   • Em distribuições modernas (Ubuntu 20.04+, Debian 10+, CentOS 8+), nftables já está incluso. Para garantir:

   • sudo apt update && sudo apt install nftables

     sudo systemctl enable nftables

3. Crie uma configuração básica
   • Abra o arquivo de configuração:

   • sudo nano /etc/nftables.conf

   • Exemplo de configuração mínima segura (ajuste portas conforme sua aplicação):

   • #!/usr/sbin/nft -f
     flush ruleset
     
     table inet filter {
       chain input {
         type filter hook input priority 0;
         ct state established,related accept
         iif lo accept
         tcp dport { 22, 80, 443 } accept # SSH, HTTP, HTTPS
         ip protocol icmp accept
         reject with icmp type port-unreachable
       }
       chain forward {
         type filter hook forward priority 0;
         reject with icmp type port-unreachable
       }
       chain output {
         type filter hook output priority 0;
         accept
       }
     }

   • Salve e feche o arquivo.
4. Ative e teste o firewall
   • Recarregue as regras:

   • sudo systemctl restart nftables

   • Verifique se as regras estão ativas:

   • sudo nft list ruleset

   • Teste o acesso remoto (SSH, web) de outro dispositivo para garantir que não houve bloqueio indevido.
5. Personalize as regras conforme sua necessidade
   • Adicione ou remova portas conforme os serviços utilizados (ex: bancos de dados, painéis, etc).
   • Para liberar porta adicional (exemplo: 3306 para MySQL):

   • tcp dport 3306 accept

   • Após ajustes, sempre recarregue:

   • sudo systemctl restart nftables

6. Habilite o firewall para inicialização automática

   • sudo systemctl enable nftables

Checklist rápido

• Backup do arquivo /etc/nftables.conf realizado
• Portas essenciais liberadas (SSH, HTTP/HTTPS)
• Regras testadas via acesso externo
• Firewall ativado e configurado para inicialização automática

Erros comuns e troubleshooting

• Perdi acesso SSH após ativar o firewall: Use o console do painel AviraHost para restaurar o backup do /etc/nftables.conf e liberar a porta 22.
• Serviço não acessível externamente: Verifique se a porta está liberada nas regras e se o serviço está rodando.
• Erro ao recarregar nftables: Cheque a sintaxe do arquivo com

  sudo nft -c -f /etc/nftables.conf

  antes de aplicar.
• Regras não persistem após reboot: Certifique-se de que o serviço nftables está habilitado para inicializar automaticamente.

Resumo

• nftables é a solução moderna e flexível para firewall em Linux.
• Siga as boas práticas: backup e teste antes de aplicar regras restritivas.
• Conte com suporte 24/7 da AviraHost para dúvidas e emergências.

Contrate Agora

Garanta máxima segurança e desempenho para seus projetos com servidores robustos e suporte técnico especializado. Veja planos de servidor dedicado e eleve o nível da sua infraestrutura.

Para mais dicas de segurança e administração, confira também nosso site oficial e a linha completa de VPS Linux.