Todo servidor NT Datacenter vem com uma interface de rede configurada e um IPv4 público dedicado desde o primeiro boot. Este artigo explica como a rede funciona dentro do Proxmox VE, o que está incluído por padrão e o que exige solicitação via ticket.
O que vem incluso por padrão
| Recurso | Detalhe |
|---|---|
| IPv4 público dedicado | 1 endereço fixo, ligado ao VMID |
| Bridge primária | vmbr0 — acesso à internet pública |
| Firewall do nó | Regras configuráveis pelo Painel do Cliente |
| Banda | Ilimitada — fair use |
O IPv4 é fixo e permanece o mesmo após reboots, reinstalações e upgrades.
Bridge, interface e como o IP chega na VM
No Proxmox VE, toda VM ou container tem uma ou mais interfaces de rede virtuais conectadas a uma bridge no host — funciona como um switch virtual. A bridge vmbr0 é a porta de saída para a internet. Quando existe uma rede privada entre servidores do mesmo cliente, uma segunda bridge (vmbr1 ou VLAN dedicada) é provisionada para o tráfego interno sem custo de banda.
Para ver as interfaces e o IP atribuído dentro da VM:
ip -br aSaída típica:
eth0 UP 177.70.4.15/29
IP adicional
Casos comuns que justificam contratar um segundo IPv4:
- Separar serviços por endereço — por exemplo, site em um IP e saída de SMTP em outro, para preservar reputação.
- Hospedar múltiplos certificados SSL sem SNI em algum cliente legado.
- Isolar clientes de revenda por IP.
Para solicitar, abra ticket no departamento comercial informando o VMID e a justificativa. A configuração dentro da VM (exemplo Debian/Ubuntu) ficará assim:
# /etc/network/interfaces.d/eth0-alias.cfg
auto eth0:1
iface eth0:1 inet static
address 177.70.4.20
netmask 255.255.255.248Rede privada entre seus servidores
Se você tem dois ou mais servidores na NTWeb e precisa que eles se comuniquem sem passar pela internet pública, solicite uma bridge privada ou VLAN dedicada via ticket. O tráfego interno não consome a banda contratada e a latência entre nós do mesmo datacenter é inferior a 1 ms.
Casos de uso: banco de dados em um servidor e aplicação em outro, replicação entre nós, backup inter-servidor, ambientes de microsserviços.
Para solicitar, informe no ticket a lista de VMIDs a agrupar. Você receberá uma faixa de IPs privados (por exemplo 10.50.0.0/24) e as interfaces serão adicionadas a cada servidor.
Firewall do Proxmox
O firewall gerenciado pelo Painel do Cliente atua no nível do hipervisor, antes do tráfego chegar ao SO da VM. Isso significa que uma porta bloqueada ali nunca alcança o sistema operacional — é a primeira camada de defesa.
Regras de base recomendadas
| Direção | Porta | Ação | Motivo |
|---|---|---|---|
| Entrada | 2222 TCP | ACCEPT | SSH padrão NTWeb |
| Entrada | 80, 443 TCP | ACCEPT | Web |
| Entrada | 22 TCP | DROP | SSH padrão — não usado, reduz ruído |
| Entrada | 3306, 5432 | DROP (ou restrito a IP fixo) | Banco nunca exposto publicamente |
O firewall do Proxmox não substitui o firewall do SO. A prática recomendada é manter os dois ativos — defesa em camadas.
Firewall do sistema operacional
Debian e Ubuntu — UFW:
ufw default deny incoming
ufw default allow outgoing
ufw allow 2222/tcp
ufw allow 80/tcp
ufw allow 443/tcp
ufw enableAlmaLinux e Rocky Linux — firewalld:
firewall-cmd --permanent --add-port=2222/tcp
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload
Perguntas frequentes
- O IP muda se eu reinstalar a VM? Não. O IPv4 público é fixo e vinculado ao VMID, não ao SO instalado.
- Usam CGNAT? Não. Todos os produtos NT Datacenter entregam IPv4 público real.
- Como proteger um banco de dados exposto acidentalmente? Feche a porta no firewall do Proxmox pelo painel imediatamente, depois ajuste as regras do SO.