O Que É uma Regra de Firewall? Permitindo e Bloqueando Tráfego
Uma regra de firewall é uma única instrução que permite ou nega tráfego de rede com base em propriedades como protocolo, porta e endereço de origem ou destino.
Um firewall impõe um conjunto de regras que decidem qual tráfego pode passar. Cada regra faz match em atributos como direção, porta e endereço, e então permite ou bloqueia os pacotes correspondentes. Pipelines de CI encontram regras de firewall constantemente: um deploy que não consegue alcançar um serviço frequentemente está bloqueado por uma.
Anatomia de uma regra
Uma regra tipicamente especifica direção, protocolo, porta ou faixa, origem, destino e uma ação de allow ou deny. O tráfego é verificado contra as regras em ordem até que uma faça match.
Deny por padrão
Firewalls seguros negam tudo por padrão e permitem apenas o que está explicitamente listado. Isso significa que uma regra esquecida bloqueia silenciosamente o tráfego legítimo até você adicioná-la.
Onde as regras vivem
- Security groups e network ACLs de nuvem.
- Firewalls de host como iptables ou nftables.
- Appliances de rede e firewalls gerenciados.
Regras de firewall e CI
Quando um runner não consegue alcançar um registry, banco de dados ou API, uma regra de firewall é a principal suspeita. A conexão atinge timeout ou é recusada sem erro de aplicação, porque o pacote nunca chegou.
Regras de egress e ingress
Regras de egress limitam onde um runner pode se conectar para fora, frequentemente para impor uma allowlist de hosts aprovados. Regras de ingress limitam quem pode se conectar a um serviço em deploy.
Bloqueios versus soluços
Um bloqueio de firewall falha toda vez até a regra mudar, então é determinístico. Os runners da Latchkey fazem retry de falhas de rede genuinamente transitórias, mas uma negação de firewall é uma correção de configuração, não algo que um retry resolva.
Principais conclusões
- Uma regra de firewall permite ou nega tráfego por protocolo, porta e endereço.
- Firewalls seguros usam deny por padrão, então regras ausentes bloqueiam silenciosamente tráfego legítimo.
- Bloqueios de firewall são determinísticos e precisam de uma mudança de regra, não de um retry.