Firewall no serv. Contabo

viniciusrfb · Maio 15, 2025, 10:29pm

Contratei um VPS no Contabo para começar a trabalhar com n8n.

A questão é que não há Firewall no Contabo.

O que recomendarias nessa situação?

n8n justo trataria de transferências contínuas de informações, às vezes podendo ser sensíveis, uma vez que será usado, entre outros, para a integração entre um e-commerce e um sistema de gestão.

viniciusrfb · Maio 16, 2025, 4:53pm

Vejo que há um serviço de Firewall no Cloudflare.

É um pacote complementar (chama-se WAF), mas não informa preços, encaminha para um formulários de contato.

Não o conheço, assim que seria interessante alguma recomendação. Ou então a recomendação de outra prestadora.

Também não sei se esse tipo de seriço de uma prestadora externa fornece o mesmo nível de segurança que de um FIrewall da própria hospedagem.

Grato, Vinícius

Gabriel · Maio 16, 2025, 5:54pm

Esse firewall direto no Cloud geralmente faz apenas a gestão de portas.
Esse tipo de firewall não vai influenciar diretamente na proteção de dados que circulam pelo seu N8N pois estes geralmente são feitas pela porta 443 (https).
Esse tipo de proteção deve ser feita através de autenticação das conexões feitas com seu N8N.

O firewall de bloqueio de portas está mais relacionado a proteção de atraques força bruta sobre algum serviço que roda no server.

Também sinto falta de um firewall nativo na Contabo, de momento recomendo apenas configurar o IpTables do server para bloquear portas que não estão em uso.

Gabriel · Maio 16, 2025, 5:59pm

Sobre a configuração do IpTables. Tem uma lista de regras aqui abaixo:

Limpar regras existentes

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

Definir política padrão para DROP (bloquear tudo)

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Permitir tráfego na interface loopback

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

Permitir conexões estabelecidas e relacionadas

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Permitir as portas específicas

SSH

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

HTTP

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

HTTPS

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

SMTP (Submission)

iptables -A INPUT -p tcp --dport 587 -j ACCEPT

Permitir ping (opcional, remova se não quiser permitir)

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Salvar as regras para que persistam após reinicialização

iptables-save > /etc/iptables/rules.v4

viniciusrfb · Maio 16, 2025, 7:36pm

Entendi.

Então um Firewall instalado e configurado no sistema ubuntu já daria conta do recado.
Junto a outras ferramentas, como os serviços do CloudFlare, daria uma proteção suficiente.
Já estava pensando na possibilidade de passar para o Hezner, que fornece mais ferramentas de servidor.

Muito obrigado.