Com o aumento constante de ataques cibernéticos, principalmente oriundos de regiões com histórico elevado de atividades maliciosas, bloquear países específicos no firewall do servidor é uma prática recomendada em determinados cenários.
O ConfigServer Security & Firewall (CSF) é uma das ferramentas mais completas e populares para gerenciamento de segurança em servidores Linux. Ele permite o bloqueio de IPs por geolocalização, proteção contra ataques DoS e muitos outros recursos que ajudam a fortalecer a segurança do seu ambiente web.
Neste artigo completo do Blog Dolutech, você aprenderá:
- O que é o CSF e por que usá-lo;
- Como bloquear regiões inteiras por país;
- Como aplicar GeoIP blocks para mais de 80 países recomendados;
- Como habilitar o Synflood protection para mitigar ataques DoS (Denial of Service);
- E boas práticas para manter seu servidor seguro e performático.
Pré-requisitos
- Servidor Linux com root (Debian, Ubuntu, CentOS, AlmaLinux etc);
- CSF já instalado (se não, veja aqui);
- cPanel, DirectAdmin ou ambiente sem painel (funciona em todos).
O que é o CSF?
O CSF (ConfigServer Security & Firewall) é um conjunto de scripts que funciona como um firewall baseado em iptables. Ele adiciona uma interface mais amigável e um controle detalhado de regras, além de:
- Detecção e bloqueio automático de ataques (LFD);
- Geo-blocking (por país ou continente);
- Integração com servidores web, painéis de controle e alertas por e-mail;
- Limites de conexão por IP, proteção contra DoS/DDoS, brute-force, SYN Flood, entre outros.
Habilitar Bloqueio por País (GeoIP Block)
Passo 1: Habilitar GeoIP no CSF
Edite o arquivo de configuração principal:
vim /etc/csf/csf.confProcure e ajuste as seguintes diretivas:
CC_LOOKUPS = "1"
CC_DENY = "RU,IN,BY,AF,CN,CU,PY,KZ,KP,PK,DZ,AO,BJ,BW,BF,BI,CM,CV,CF,TD,KM,CD,CG,CI,DJ,EG,GQ,ER,ET,GA,GM,GH,GN,GW,KE,LS,LR,LY,MG,MW,ML,MR,MA,MU,YT,NA,NE,NG,RE,RW,SH,ST,SN,SC,SL,SO,ZA,SS,SD,SZ,TZ,TG,TN,UG,EH,ZM,ZW,AE,BH,CY,IR,IQ,IL,JO,KW,LB,OM,PS,QA,SA,SY,TR,YE,BD,KH,LA,MM,MN,MY,NK,NP,PH,SG,LK,TH,TJ,TW,UZ,VN"CC_DENY: Define os códigos ISO de países que você deseja bloquear completamente o acesso ao servidor (entrada e saída).
CC_LOOKUPS = 1: Habilita o uso de GeoIP no CSF para bloqueio por país.
Passo 2: Salvar e reiniciar CSF
Após salvar o arquivo, aplique as mudanças:
csf -r3. Testar Bloqueio GeoIP
Você pode verificar se um IP de um país bloqueado está sendo negado (Utilize VPN):
csf -g IP_A_TESTARExemplo:
csf -g 100.100.100.100Isso mostrará se o IP está bloqueado e por qual regra.
4. Habilitar Proteção contra SYN Flood (Anti-DoS)
O ataque SYN flood é um tipo de ataque DoS onde o atacante envia requisições TCP incompletas para esgotar os recursos do servidor.
Ativar Synflood no CSF
No mesmo arquivo /etc/csf/csf.conf, procure por:
SYNFLOOD = "1"
SYNFLOOD_RATE = "150/s"
SYNFLOOD_BURST = "30"
Explicação:
| Parâmetro | Função |
|---|---|
SYNFLOOD = 1 | Ativa proteção contra SYN Flood |
SYNFLOOD_RATE = 150/s | Permite no máximo 150 conexões SYN por segundo |
SYNFLOOD_BURST = 30 | Após 30 picos de SYN, o IP é bloqueado temporariamente |
Em ambientes Partilhados Recomendo usar 300.
Salve e reinicie o CSF novamente:
csf -r5. Outras Recomendações de Segurança com CSF
Limitar conexões simultâneas por IP:
CT_LIMIT = "100"Bloquear portas não utilizadas:
No arquivo /etc/csf/csf.conf, defina:
TCP_IN = "22,80,443"
TCP_OUT = "80,443"
UDP_IN = "53"
UDP_OUT = "53"Remova qualquer porta que não seja necessária para seu serviço.
Ferramentas para Monitorar
csf -l: lista todos os IPs atualmente bloqueados.tail -f /var/log/lfd.log: mostra tentativas de ataque em tempo real.csf -t: mostra conexões ativas com contagem por IP.
Lembre-se de utilizar o CSF (ConfigServer Security & Firewall) juntamente com um WAF ( Web Application Firewall) de confiança, um complementa o outro quando falamos de aplicações Web.
Conclusão
O CSF é uma solução poderosa, flexível e altamente configurável para proteger servidores web Linux. Ao aplicar bloqueios por região e habilitar proteção contra SYN Flood, você reduz significativamente a superfície de ataque e melhora a resiliência do seu servidor contra ameaças globais.
A equipe Dolutech recomenda a revisão periódica dos logs de segurança, atualização constante do sistema e testes frequentes de firewall para garantir que sua configuração esteja sempre à frente das ameaças emergentes.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.