O painel KVM da CentralServer conta com um firewall integrado que permite ao cliente controlar quais conexões de rede externas podem alcançar sua VM. Esse recurso adiciona uma camada de proteção antes mesmo do tráfego chegar ao sistema operacional da VM, garantindo maior segurança e flexibilidade.
Características principais
- Gerenciamento centralizado: Todas as alterações são feitas diretamente pelo painel Console Cloud, sem necessidade de acessar a VM.
- Firewall externo à VM: As regras são aplicadas diretamente no painel KVM, independentemente das configurações internas do sistema operacional.
- Controle por porta e protocolo: É possível permitir ou bloquear conexões específicas (ex.: liberar apenas porta 22/TCP para SSH, 80/TCP e 443/TCP para sites).
- Camada adicional de segurança: Mesmo que o firewall do sistema operacional (como iptables, firewalld ou pfSense) esteja desativado, as regras do KVM continuam ativas.
Como acessar o firewall do KVM
- Acesse o painel KVM pelo endereço Console Cloud.
- Selecione o servidor desejado.
- No menu lateral, clique em Regras de Firewall.
- Será exibida a lista de regras já configuradas.
Estrutura de regras
Cada regra de firewall é composta pelos seguintes campos:
| Campo | Descrição |
|---|---|
| Habilitar | Ativa ou desativa a regra. |
| Tipo | Define se a regra é de Entrada ou Saída. |
| Interface | Seleciona a interface de rede à qual a regra se aplica (ex.: net0). |
| Destino | Endereço ou faixa de IP de destino da regra. |
| Protocolo | TCP, UDP ou Nenhum (para ambos). |
| Porta de Destino | Número da porta ou faixa de portas a ser liberada/bloqueada. |
| Ação | Define se a regra Aceita (Permite) ou Bloqueia o tráfego. |
| Origem | Endereço IP ou faixa de IPs que terão permissão de acesso; pode usar macros ou 0.0.0.0/0. |
| Porta de Origem | Número da porta ou faixa de portas de origem (opcional). |
| Comentário | Campo livre para adicionar observações sobre a regra. |
Exemplos de uso
- Liberar acesso SSH (porta 22/TCP) de qualquer origem
- Ação: Permitir
- Protocolo: TCP
- Porta: 22
- Origem: 0.0.0.0/0
- Liberar HTTP ou HTTPS para hospedar um site
- Ação: Permitir
- Protocolo: TCP
- Porta: 80 ou 443
- Origem: 0.0.0.0/0
- Restringir acesso SSH apenas ao seu IP fixo (200.200.200.200)
- Ação: Permitir
- Protocolo: TCP
- Porta: 22
- Origem: 200.200.200.200/32
Boas práticas
- Mantenha apenas portas essenciais abertas para reduzir a superfície de ataque.
- Restrinja serviços críticos (como SSH e RDP) a IPs confiáveis sempre que possível.
- Combine o firewall do KVM com o firewall interno da VM para uma proteção em camadas.
- Revise periodicamente as regras para garantir que não existam portas abertas desnecessariamente.
Observações importantes
- Alterações no firewall do KVM são aplicadas em tempo real, mas podem levar alguns segundos para surtir efeito.
- Se nenhuma regra for configurada, todas as portas permanecem bloqueadas por padrão, exigindo que o cliente crie regras de liberação conforme necessário.
- Caso o cliente utilize um firewall interno (como o pfSense ou iptables), é necessário alinhar as regras internas com as regras do KVM para evitar conflitos. Caso deseje também existe a opção de desativar o Firewall do KVM, você pode verificar o procedimento no guia a seguir: Como liberar firewall em um servidor KVM?
AVISO LEGAL: Os procedimentos descritos neste documento devem ser executados de acordo com o contexto de cada sistema, de forma a evitar impactos negativos à segurança, disponibilidade, integridade e privacidade de dados. A CentralServer se reserva o direito de modificar a qualquer tempo e sem aviso prévio as informações aqui apresentadas a fim de refletir o lançamento de novos serviços, atualizações físicas e operacionais, e evolução do estado-da-arte da tecnologia.
