50% off todos os planos, por tempo limitado. A partir de $2.48/mo
Security

Reduza reclamações de abuso ao executar serviço VPN

By Parnian R. 6 min read Updated Feb 15, 2026

Executar um VPN ou serviço proxy em um servidor pode trazer vários riscos. Como
o proprietário do IP e seus usuários são responsáveis por qualquer abuso ou atividade ilegal
atividade realizada através do seu serviço. Para se proteger disso
problema, você precisa tomar medidas preventivas para proteger seu
reputation.

Strict Mode:
Whitelisting

Uma forma de garantir que seu servidor não está sendo abusado é permitir apenas
certas atividades. Essa abordagem, chamada de lista de permissões, não
impedir completamente abuso; seus usuários ainda podem atacar outras pessoas e causar
na suspensão do seu servidor. No entanto, pode tornar o processo de denúncia de abuso mais
muito mais difícil, e há uma grande chance de afastar abusadores da sua
serviços (e, infelizmente, alguns usuários legítimos também).

O que estamos propondo aqui é bloquear todo tráfego de entrada e saída
pacotes do seu servidor, exceto os que são absolutamente necessários.
Veja como fazer isso.

Antes de seguir o guia, você precisa verificar apenas uma coisa:
você não pode ter nenhum outro firewall ativado no seu servidor.
Embora este guia cubra o processo no Ubuntu, você não precisa ter
esse como seu sistema operacional. A lógica do processo é a mesma para outros SOs.
well.

1. Installing UFW

Primeiro, instale o UFW.

sudo apt install ufw

2.
Bloqueando todas as conexões de entrada e saída

Certifique-se de desativar o UFW, pois os comandos a seguir podem
interromper sua conexão com o servidor:

sudo ufw disable

os comandos abaixo vão basicamente descartar todos os pacotes que tentarem
entrar ou sair do seu servidor. Depois, vamos permitir apenas as conexões que
seus usuários precisam:

sudo ufw default deny incoming

sudo ufw default deny outgoing

3. Allowing
você se conectar ao seu servidor

Agora vamos permitir conexões de entrada na porta 22, que é a porta
usada para estabelecer conexões SSH. Embora seja sempre uma boa ideia
alterar sua porta SSH para outra coisa:

sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”

Enquanto as conexões de saída já estão bloqueadas, vamos especificamente
bloquear todos os pacotes de saída que têm a porta 22 como destino (em
caso você mude a política padrão no futuro). Isso impedirá tanto você
quanto seus usuários de se conectarem a outros servidores usando SSH na porta
22. Embora pareça problemático, isso vai resolver uma das reclamações mais
comuns que resultam na suspensão do seu servidor. Usando este
comando, nenhum usuário conseguirá realizar ataques de força bruta SSH a partir
your server:

sudo ufw deny out 22/tcp comment “Stops SSH brute force”

Depois de permitir conexões de entrada na porta 22, você pode ativar seu
firewall sem ser desconectado do servidor:

sudo ufw enable

Se por algum motivo você perder a conexão com seu servidor, pode usar
VNC para acessá-lo novamente e desabilitar seu firewall.

4.
Permitir que seus usuários se conectem ao servidor para usar proxy/VPN
services

Claramente, seus usuários precisam se conectar e usar o proxy do seu servidor
serviços. Bloquear todas as conexões de entrada torna isso impossível para
eles. Então, precisamos permitir as portas proxy/VPN usadas pelos usuários. Por
exemplo, digamos que queremos permitir que os usuários se conectem à porta 1194, que
é normalmente usada para OpenVPN. Para fazer isso, digite o seguinte comando:

sudo ufw allow in 1194/tcp comment “OpenVPN port for users”

Ou, se você estiver executando OpenVPN sobre UDP:

sudo ufw allow in 1194/udp comment “OpenVPN port for users”

A lógica é a mesma para outros VPN e servidores proxy também, apenas
descubra qual porta seus usuários precisam usar e permita as conexões de entrada
connections to it.

Agora seus usuários podem se conectar ao seu servidor e ao VPN, mas não
conseguirão fazer nenhuma conexão com o mundo exterior. Esse é o
propósito exato da lista de permissões: os usuários não conseguirão se conectar a nenhuma
porta a menos que a permitamos. Fazer isso reduz a chance de
receber relatórios de abuso.

5.
Permitir que seus usuários visitem websites e usem
applications

Agora vamos permitir o tráfego de saída para as portas usadas para navegar
na web e fazer chamadas API em servidores web. Para fazer isso, você deve permitir
a porta TCP 80 e a porta TCP 443. Permitir também a porta UDP 443
habilitará seus usuários a fazer conexões HTTP3:

sudo ufw allow out 80/tcp comment “HTTP connections”

sudo ufw allow out 443 comment “HTTPS and HTTP3 connections”

6. Allowing
diferentes serviços conforme necessário

Normalmente, abrir as portas 80 e 443 é suficiente, mas para obter a funcionalidade completa
de certos aplicativos ou software, você pode precisar permitir que
seus usuários usem outras portas também.

Geralmente é recomendado fazer sua própria pesquisa e abrir apenas
portas se forem absolutamente necessárias. Cada aplicação importante tem
documentação de rede com informações para administradores de rede
como você. Nesses documentos, você encontra as portas que as
aplicações usam e pode fazer sua whitelist também. Listamos algumas populares
ones as examples.

WhatsApp
(Sem chamadas de vídeo ou voz):

sudo ufw allow out 443/tcp comment “WhatsApp”

sudo ufw allow out 5222/tcp comment “WhatsApp”

Git:

sudo ufw allow out 9418/tcp comment “Git”

Alguns serviços como Discord,
Zoom,
ou chamadas de voz e vídeo do WhatsApp exigem uma ampla gama de portas UDP, você
pode abri-las conforme seu critério.

Lenient Mode:
Blacklisting

Na whitelist, você bloqueia tudo e permite portas específicas. Na
blacklist, você permite tudo e bloqueia portas específicas.

1. Installing UFW

Primeiro, você precisa instalar UFW

sudo apt install ufw

2. Blocking the
incoming connections

Certifique-se de desativar o UFW, pois os comandos a seguir podem
interromper sua conexão com o servidor:

sudo ufw disable

Faz sentido bloquear todas as conexões de entrada, a menos que você forneça
serviços específicos. Então vamos rejeitar todo o tráfego de entrada:

sudo ufw default deny incoming

Observe que desta vez você não está bloqueando todas as conexões de saída.
Isso permite que seus usuários se conectem a qualquer porta que queiram. Não é
recomendável, a menos que você confie completamente em seus usuários.

3.
Permitindo que você se conecte ao seu servidor

Agora vamos permitir conexões de entrada na porta 22, que é a porta
usada para estabelecer conexões SSH ao seu servidor. Embora seja
sempre uma boa ideia mudar sua porta SSH para outra:

sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”

Se você quiser bloquear a porta SSH para evitar relatos de ataques de força bruta SSH,
você pode usar o seguinte comando:

sudo ufw allow out 22/tcp comment “Block Outgoing SSH ”

4. Block BitTorrent

Usando a mesma lógica, você precisa bloquear portas usadas para
BitTorrent. No entanto, como há múltiplas portas para isso, você precisa
fazer sua pesquisa e bloquear IPs de rastreadores públicos, assim como as portas
normalmente usadas para BitTorrent.

Se tiver dúvidas, não hesite em nos contatar por submitting a
ticket.

Share
Voltar à Base de Conhecimento

Also in Security

Related guides.

Definir senha do RouterOS

VPS Linux seguro

Conexão RDP segura

Verificar firewall de VPS na nuvem

Precisa de ajuda com algo mais?

Tempo mediano de resposta inferior a 1 hora. Pessoas reais, não bots.

Contact support Explorar todos os guias