Quais portas abrir no firewall da VPS para site: regras essenciais e boas práticas
Meta descrição: Quais portas abrir no firewall da VPS para site? Veja regras essenciais, UFW/iptables e boas práticas para proteger seu servidor web.
Ao publicar um site em uma VPS, você ganha controle total do servidor, mas também a responsabilidade de decidir o que pode ou não chegar até ele. Para um site típico, o público precisa acessar apenas HTTP (porta 80) e HTTPS (porta 443). Já o acesso administrativo (como SSH na porta 22) deve ser bem restrito. A chave é abrir o mínimo necessário, com regras claras e fáceis de auditar.
Por que o firewall é crucial em VPS para sites
Sua VPS geralmente tem IP público, então bots varrem a internet procurando portas abertas e serviços vulneráveis. O firewall reduz a superfície de ataque ao bloquear conexões indesejadas antes mesmo de chegarem aos serviços (Nginx, SSH, banco de dados). Benefícios práticos: 1) Redução de riscos, 2) Organização do que está exposto, 3) Defesa em camadas junto com boas senhas, atualizações e SSL.
🤖 Dica extra: Formação Agentes de IA com n8n (Hora de Codar)
Se você pretende rodar automações e agentes de IA em produção, vale conhecer a Formação Agentes de IA com n8n da Hora de Codar. A trilha cobre do básico à configuração profissional em VPS, incluindo domínio, SSL, proxy e segurança. Link: https://app.horadecodar.com.br/lp/formacao-agentes-de-ia-n8n?utm_source=blog
Portas que você deve abrir: HTTP, HTTPS e SSH
Para a maioria dos sites:
- 80 TCP (HTTP): comum para redirecionar visitantes para HTTPS.
- 443 TCP (HTTPS): tráfego seguro com TLS, essencial hoje.
Sobre o SSH (22 TCP): é para administração. Evite deixá-lo totalmente aberto. Prefira restringir por IP, usar chaves SSH, desabilitar senha e aplicar ferramentas como Fail2ban. Trocar a porta padrão pode reduzir ruído, mas não substitui a restrição por IP.
Vídeo recomendado: instalando n8n na VPS e publicando atrás de proxy
Este vídeo mostra na prática a instalação do n8n em VPS, configuração de domínio e publicação por trás de proxy reverso, o que reforça a estratégia de expor apenas 80 e 443. Link direto: https://www.youtube.com/embed/VCKzXFk_XjM?si=eOBTMrjZNPj3q07Z
Portas que normalmente não devem ser expostas
Evite expor diretamente serviços internos:
- Bancos de dados (3306 MySQL, 5432 PostgreSQL)
- Redis (6379), filas e mensageria
- Painéis internos e ferramentas de administração
Esses serviços devem ouvir apenas em localhost ou em rede privada/VPN. Quando precisar acesso externo pontual, use túnel SSH ou um proxy seguro.
Criando regras seguras: estratégia deny by default
Boas práticas para regras de firewall:
- Política padrão: negar incoming e permitir outgoing. Assim nada entra sem autorização explícita.
- Libere somente o necessário: 80 e 443 para o público e SSH de forma controlada.
- Evite se trancar: cadastre a regra de SSH antes de ativar o firewall e tenha acesso de console do provedor preparado para emergências.
- Valide após aplicar: cheque o status do firewall e teste acesso ao site e ao SSH.
- UFW é excelente para iniciantes em Ubuntu/Debian, sendo uma camada amigável sobre iptables/nftables.
💻 VPS com bom custo-benefício: Hostinger (com cupom)
A Hostinger oferece VPS com bom painel e opção de n8n pré-instalado, ideal para quem quer publicar aplicações atrás de HTTPS mantendo o firewall simples. Confira: https://www.hostinger.com.br/horadecodar
Cupom de desconto: HORADECODAR
Como configurar UFW na VPS e liberar 80 e 443
Passo a passo em Ubuntu/Debian:
1) Instale e verifique o UFW:
sudo apt update
sudo apt install ufw
sudo ufw status verbose
2) Defina políticas padrão seguras:
sudo ufw default deny incoming
sudo ufw default allow outgoing
3) Garanta o SSH antes de ativar (exemplo liberando apenas do seu IP 203.0.113.10):
sudo ufw allow from 203.0.113.10 to any port 22 proto tcp
Se não tiver IP fixo, mantenha provisoriamente mais aberto e evolua para VPN ou lista de IPs confiáveis.
4) Libere as portas do site:
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
5) Ative o UFW e revise as regras:
sudo ufw enable
sudo ufw status numbered
6) Teste: abra o site via http e https, confirme que o SSH funciona do IP permitido e que falha de IPs não permitidos. Observação: para emitir certificados com Lets Encrypt (validação HTTP-01), manter a porta 80 liberada ajuda bastante.
Quais portas são obrigatórias para abrir no firewall da VPS para hospedar um site?
As portas obrigatórias para hospedar um site são geralmente a porta 80 (HTTP) e a porta 443 (HTTPS), responsáveis pelo tráfego web comum e seguro, respectivamente. Se precisar acessar o servidor remotamente, a porta 22 (SSH) para conexões seguras pode ser aberta, mas recomenda-se restringir o acesso por IP.
Como definir regras de firewall usando UFW ou IPTables para um site na VPS?
No UFW, autorize as portas usando comandos como ‘ufw allow 80/tcp’ e ‘ufw allow 443/tcp’. Com IPTables, utilize: ‘iptables -A INPUT -p tcp –dport 80 -j ACCEPT’ e ‘iptables -A INPUT -p tcp –dport 443 -j ACCEPT’. Lembre-se de bloquear portas desnecessárias e aplicar regras restritivas para maior segurança.
Quais são as boas práticas ao configurar o firewall da VPS para um site?
Mantenha abertas apenas as portas essenciais (80, 443 e opcionalmente 22), restrinja o acesso SSH por IP, monitore tentativas de acesso suspeitas, utilize regras de saída limitadas quando possível e revise periodicamente as configurações do firewall para garantir a segurança contínua do ambiente.
Conclusão
Para a maioria dos sites em VPS, a configuração segura é direta: abrir 80 e 443 para o público e manter o SSH sob controle (preferencialmente restrito ao seu IP e com chaves). Com política deny by default e UFW, você reduz a superfície de ataque, mantém previsibilidade e evita exposição desnecessária. Ao instalar novos serviços, pergunte se precisam ser públicos e só então considere abrir portas adicionais.