Proteja servidores HestiaCP com lista de IPset

O HestiaCP, combinado com Fail2ban e Iptables, oferece uma base sólida para defesa de servidores. Com IPset, você consegue manter listas dinâmicas de IPs maliciosos e aplicar bloqueio em escala com boa performance.

Vantagens da lista IPset

Proteção contínua: bloqueio automático de IPs maliciosos conhecidos.
Gestão centralizada: administração de regras no próprio painel Hestia.
Flexibilidade: personalização de listas e políticas por tipo de ataque.

Criando a lista de IPs maliciosos

O Hestia já inclui script de atualização automática:

/usr/local/hestia/install/common/firewall/ipset/blacklist.sh

Esse script integra diversas fontes públicas, por exemplo:

Tipos de ataques mitigados

Com listas atualizadas e regras corretas, você reduz exposição a:

Spam
SYN flood
DDoS
Sniffing
Scam/fraude
Abuso via proxies/Tor
Ataques de dicionário
Força bruta
Phishing
Malware
SQL injection

Observação: novas técnicas surgem o tempo todo. Mantenha listas, monitoramento e política de resposta sempre atualizados.

Cadastro da lista no HestiaCP

No painel Hestia:

Acesse Configurações do Servidor.
Entre em Firewall.
Abra Listas de IP Set.
Clique em Adicionar lista de IP.

Preencha os campos:

Nome: BLOCK-LIST
Fonte de dados: “Bloquear IPs maliciosos”
ou: script:/usr/local/hestia/install/common/firewall/ipset/blacklist.sh
Versão IP: IPv4
Atualização Automática: Sim

Criação de regras de firewall

Com a lista cadastrada, aplique regras de bloqueio para ipset:BLOCK-LIST.

Regra 1: negar TCP (entrada)

Ação: REJEITAR
Protocolo: TCP
Porta: 0
Endereço: ipset:BLOCK-LIST
Comentário: BLOCK_BADIP

Regra 2: negar UDP (saída)

Ação: REJEITAR
Protocolo: UDP
Porta: 0
Endereço: ipset:BLOCK-LIST
Comentário: BLOCK_BADIP

Regra 3: negar ICMP

Ação: REJEITAR
Protocolo: ICMP
Porta: 0
Endereço: ipset:BLOCK-LIST
Comentário: BLOCK_BADIP

Com isso, o servidor passa a bloquear automaticamente IPs negativos de fontes confiáveis e atualizadas.

Este post está licenciado sob CC BY-NC.