diff --git a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.de-de.md b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.de-de.md
index 7a6ff59c680..709254a5c84 100644
--- a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.de-de.md
+++ b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.de-de.md
@@ -1,42 +1,46 @@
---
title: Aktivieren und Konfigurieren der Edge Network Firewall
-excerpt: Erfahren Sie hier, wie Sie die Edge Network Firewall konfigurieren
-updated: 2026-01-06
+excerpt: Erfahren Sie, wie Sie die Edge Network Firewall für Ihre Dienste konfigurieren
+updated: 2026-03-09
---
## Ziel
-Zum Schutz von Diensten, die über öffentliche IP-Adressen zugänglich sind, bietet OVHcloud eine konfigurierbare Firewall an, die in unsere **DDoS-Schutz-Infrastruktur** integriert ist: Edge Network Firewall. Mithilfe dieser Option kann die Anfälligkeit der Dienste für Angriffe von außerhalb des OVHcloud Netzwerks begrenzt werden.
+Zum Schutz von Kundendiensten, die über öffentliche IP-Adressen zugänglich sind, bietet OVHcloud eine zustandslose Firewall an, die in die **DDoS-Schutz-Infrastruktur** integriert ist: die Edge Network Firewall. Sie begrenzt die Anfälligkeit für DDoS-Angriffe, indem sie bestimmte Netzwerkdatenströme von außerhalb des OVHcloud Netzwerks verwirft.
**Diese Anleitung erklärt, wie Sie die Edge Network Firewall für Ihre Dienste konfigurieren.**
> [!primary]
>
-> Weitere Informationen zu unserer Anti-DDoS-Lösung finden Sie [hier](/links/security/antiddos).
->
+> Weitere Informationen zu unserer Anti-DDoS-Lösung finden Sie auf [unserer Website](/links/security/antiddos).
+>
-| OVHcloud Anti-DDoS-Infrastruktur & Game-Schutzdienste-Diagramm |
+| Diagramm der DDoS-Schutz-Infrastruktur und Game-Schutzdienste bei OVHcloud |
|:--:|
-|  |
+| {.thumbnail} |
-## Voraussetzungen
+## Voraussetzungen
-- Sie haben eine OVHcloud Dienstleistung abonniert, die über eine dedizierte öffentliche IP-Adresse erreichbar ist ([Dedicated Server](/links/bare-metal/bare-metal), [VPS](/links/bare-metal/vps), [Public Cloud Instanz](/links/public-cloud/public-cloud), [Hosted Private Cloud](/links/hosted-private-cloud/hosted-private-cloud), [Additional IP](/links/network/additional-ip), etc.).
+- Sie verfügen über einen OVHcloud Dienst mit einer dedizierten öffentlichen IP-Adresse ([Dedicated Server](/links/bare-metal/bare-metal), [VPS](/links/bare-metal/vps), [Public Cloud Instanz](/links/public-cloud/public-cloud), [Hosted Private Cloud](/links/hosted-private-cloud/vmware), [Additional IP](/links/network/additional-ip) etc.).
- Sie haben Zugriff auf Ihr [OVHcloud Kundencenter](/links/manager).
> [!warning]
> Diese Funktion kann nur eingeschränkt oder nicht verfügbar sein, falls ein Dedicated Server der [**Eco** Produktlinie](/links/bare-metal/eco-about) eingesetzt wird.
>
-> Weitere Informationen finden Sie auf der [Vergleichsseite](/links/bare-metal/eco-compare).
+> Weitere Informationen finden Sie auf unserer [Vergleichsseite](/links/bare-metal/eco-compare).
> [!warning]
> Die Edge Network Firewall unterstützt das QUIC-Protokoll nicht.
## In der praktischen Anwendung
-Die Edge Network Firewall reduziert die Anfälligkeit für DDoS-Angriffe im Netzwerk, indem sie es Benutzern ermöglicht, einige der Firewall-Regeln des Servers an den Rand des OVHcloud Netzwerks zu übertragen. Dadurch werden eingehende Angriffe so nahe wie möglich an ihrem Ursprung blockiert, was das Risiko einer Überlastung der Ressourcen oder der Rack-Verbindungen im Falle größerer Angriffe verringert.
+Die Edge Network Firewall reduziert die Anfälligkeit für DDoS-Angriffe im Netzwerk, indem sie es Benutzern ermöglicht, einige der Firewall-Regeln des Servers an den Rand des OVHcloud Netzwerks zu übertragen. Dadurch werden eingehende Angriffe so nahe wie möglich an ihrem Ursprung blockiert, was das Risiko einer Überlastung der Serverressourcen oder der Rack-Verbindungen im Falle größerer Angriffe verringert.
+
+### Edge Network Firewall konfigurieren
+
+Die Edge Network Firewall kann jederzeit vom Benutzer aktiviert oder deaktiviert werden, mit einer Ausnahme: Sie wird **automatisch aktiviert**, wenn ein DDoS-Angriff erkannt wird, und kann **nicht deaktiviert** werden, bis der Angriff beendet ist. Daher werden alle in der Firewall konfigurierten Regeln während der Dauer des Angriffs angewendet. Dank dieser Logik können unsere Kunden die Firewall-Regeln des Servers für die Dauer des Angriffs an den Rand des OVHcloud Netzwerks auslagern.
-### Edge Network Firewall aktivieren
+#### Zugriff auf die Konfigurationsseite der Edge Network Firewall
> [!primary]
>
@@ -45,128 +49,154 @@ Die Edge Network Firewall reduziert die Anfälligkeit für DDoS-Angriffe im Netz
> [!primary]
>
-> Die Edge Network Firewall schützt eine bestimmte, mit einem Server (oder Dienst) verbundene IP. Wenn Sie also einen Server mit mehreren IP-Adressen haben, müssen Sie jede IP separat konfigurieren.
->
+> Die Edge Network Firewall schützt eine bestimmte, mit einem Server (oder Dienst) verbundene IP-Adresse. Wenn Sie also einen Server mit mehreren IP-Adressen haben, müssen Sie jede IP separat konfigurieren.
+>
-Loggen Sie sich in Ihr [OVHcloud Kundencenter](/links/manager) ein, klicken Sie auf `Network`{.action} in der linken Seitenleiste und dann auf `Öffentliche IP-Adressen`{.action}. Über das Dropdown-Menü unter **Meine öffentlichen IP-Adressen und dazugehörigen Dienste** können Sie Ihre Dienste nach Kategorien filtern, oder geben Sie die gewünschte IP-Adresse direkt in die Suchleiste ein.
+Loggen Sie sich in Ihr [OVHcloud Kundencenter](/links/manager) ein, öffnen Sie das Menü `Network`{.action} in der linken Seitenleiste und klicken Sie auf `Öffentliche IP-Adressen`{.action}.
-{.thumbnail}
+Sie können das Dropdown-Menü unter **"Meine öffentlichen IP-Adressen und dazugehörige Dienste"** verwenden, um Ihre Dienste nach Kategorie zu filtern, oder die gewünschte IP-Adresse direkt in die Suchleiste eingeben.
-Klicken Sie anschließend auf die Schaltfläche `⁝`{.action} rechts neben der entsprechenden IPv4-Adresse und wählen Sie zunächst `Edge Network Firewall konfigurieren`{.action} (oder klicken Sie auf das Status-Symbol in der Spalte **Edge-Firewall**).
+{.thumbnail}
-{.thumbnail}
+Klicken Sie anschließend auf die Schaltfläche `⁝`{.action} rechts neben der entsprechenden IPv4-Adresse und wählen Sie `Edge Network Firewall konfigurieren`{.action} (oder klicken Sie auf das Status-Symbol in der Spalte **Edge Firewall**).
-Sie werden dann zur Seite für die Firewall-Konfiguration weitergeleitet.
+{.thumbnail}
-Sie können bis zu **20 Regeln pro IP** einrichten.
+Sie werden dann zur Seite für die Firewall-Konfiguration weitergeleitet.
-> [!warning]
+> [!primary]
>
-> Die Edge Network Firewall wird automatisch aktiviert, wenn ein DDoS-Angriff erkannt wird, und kann erst nach Beendigung des Angriffs deaktiviert werden. Daher werden alle in der Firewall konfigurierten Regeln während der Dauer des Angriffs angewendet. Dank dieser Vorgehensweise können unsere Kunden die Firewall-Regeln des Servers für die Dauer des Angriffs an den Rand des OVHcloud Netzwerks verschieben.
+> - Die UDP-Fragmentierung ist standardmäßig blockiert (DROP). Wenn Sie ein VPN verwenden, denken Sie daran, Ihre Maximum Transmission Unit (MTU) korrekt zu konfigurieren. Mit OpenVPN können Sie beispielsweise `MTU test` überprüfen.
+> - Die Edge Network Firewall (ENF), die in den Scrubbing Centern (VAC) integriert ist, verarbeitet nur Netzwerkdatenverkehr von außerhalb des OVHcloud Netzwerks.
>
-> Beachten Sie, dass Sie Ihre eigenen lokalen Firewalls unabhängig von der Edge Network Firewall konfigurieren sollten. Die Edge Network Firewall hat die Funktion, Traffic von außerhalb des OVHcloud Netzwerks verarbeiten.
+
+> [!warning]
+> Bitte beachten Sie, dass Sie Ihre eigenen lokalen Firewalls unabhängig von der Edge Network Firewall konfigurieren sollten, da deren Hauptaufgabe die Verarbeitung von Traffic von außerhalb des OVHcloud Netzwerks ist.
>
-> Wenn Sie einige Regeln konfiguriert haben, empfehlen wir Ihnen, diese regelmäßig zu überprüfen oder zu ändern, je nach Bedarf Ihrer Dienste. Wie bereits erwähnt, wird die Edge Network Firewall im Falle eines DDoS-Angriffs automatisch aktiviert, selbst wenn sie in den IP-Einstellungen deaktiviert ist.
+> Wenn Sie Regeln konfiguriert haben, empfehlen wir Ihnen, diese regelmäßig zu überprüfen oder bei Änderungen an Ihren Diensten anzupassen. Wie bereits erwähnt, wird die Edge Network Firewall im Falle eines DDoS-Angriffs automatisch aktiviert, auch wenn sie in Ihren IP-Einstellungen deaktiviert ist.
>
+### Firewall-Regeln konfigurieren
+
+Sie können bis zu **20 Regeln pro IP** einrichten.
+
> [!primary]
+> Seit März 2026 unterstützt die Edge Network Firewall Regeln, die für Portbereiche gelten, zusätzlich zu den üblichen Einzelport-Regeln.
>
-> - UDP-Fragmentierung ist standardmäßig blockiert (*DROP*). Wenn Sie die Edge Network Firewall aktivieren und einen VPN verwenden, denken Sie daran, die maximale Übertragungseinheit (MTU) ordnungsgemäß zu konfigurieren. Mit OpenVPN zum Beispiel können Sie `MTU test` überprüfen.
-> - Die Edge Network Firewall (ENF), die in den Scrubbing Centern (VAC) integriert ist, verarbeitet nur Netzwerkdatenverkehr von außerhalb des OVHcloud Netzwerks.
->
-
-### Konfigurieren der Edge Network Firewall
+> Durch die Verwendung von Portbereichen können Sie Anwendungen, die mehrere aufeinanderfolgende Ports benötigen, mit einem einzigen Eintrag schützen. So bleibt Ihre Konfiguration innerhalb des Limits von 20 Regeln, da keine separaten Regeln für jeden einzelnen Port erforderlich sind.
> [!warning]
-> Beachten Sie, dass die OVHcloud Edge Network Firewall nicht zum Öffnen von Ports auf einem Server verwendet werden kann. Um Ports auf einem Server zu öffnen, müssen Sie die Firewall des auf dem Server installierten Betriebssystems konfigurieren.
+> Bitte beachten Sie, dass die OVHcloud Edge Network Firewall nicht zum Öffnen von Ports auf einem Server verwendet werden kann. Um Ports auf einem Server zu öffnen, müssen Sie die Firewall des auf dem Server installierten Betriebssystems konfigurieren.
>
-> Weitere Informationen finden Sie in unseren Anleitungen: [Firewall auf einem Windows Server konfigurieren](/pages/bare_metal_cloud/dedicated_servers/activate-port-firewall-soft-win) und [Konfiguration der Linux Firewall mit iptables](/pages/bare_metal_cloud/dedicated_servers/firewall-linux-iptable).
+> Weitere Informationen finden Sie in den folgenden Anleitungen: [Firewall auf einem Windows Server konfigurieren](/pages/bare_metal_cloud/dedicated_servers/activate-port-firewall-soft-win) und [Konfiguration der Linux Firewall mit iptables](/pages/bare_metal_cloud/dedicated_servers/firewall-Linux-iptable).
>
-**Um eine Regel hinzuzufügen**, klicken Sie oben links auf die Schaltfläche `+ Hinzufügen eine Regel`{.action}:
+**Um eine Regel hinzuzufügen**, klicken Sie oben links auf die Schaltfläche `+ Regel hinzufügen`{.action}:
|  |
-|:--:|
-| Auf `+ Hinzufügen eine Regel`{.action} klicken |
+|:--:|
+| Klicken Sie auf `+ Regel hinzufügen`{.action}. |
Für jede Regel (mit Ausnahme von TCP) müssen Sie Folgendes auswählen:
-|  |
-|:-|
-| • Eine Priorität (0 bis 19, wobei 0 die erste anzuwendende Regel ist)
• Eine Aktion (`Accept`{.action} oder `Deny`{.action})
• Das Protokoll
• Quell-IP (optional) |
+| {.thumbnail} |
+|:--|
+| - Eine Priorität (von 0 bis 19, wobei 0 die erste anzuwendende Regel ist, gefolgt von den anderen)
- Eine Aktion (`Accept`{.action} oder `Deny`{.action})
- Das Protokoll
- Quell-IP (optional) |
Für jede **TCP**-Regel müssen Sie Folgendes auswählen:
-|  |
-|:-|
-| • Eine Priorität (0 bis 19, 0 ist die erste anzuwendende Regel, gefolgt von den anderen)
• Eine Aktion (`Accept`{.action} oder `Deny`{.action})
• Das Protokoll
• Quell-IP (optional)
• Der Quell-Port (optional)
• Der Ziel-Port (optional)
• Der TCP-Status (optional)
• Fragmente (optional)|
+| {.thumbnail} |
+|:--|
+| - Eine Priorität (von 0 bis 19, wobei 0 die erste anzuwendende Regel ist, gefolgt von den anderen)
- Eine Aktion (`Accept`{.action} oder `Deny`{.action})
- Das Protokoll
- Quell-IP (optional)
- Der Quellport oder Portbereich (optional)
- Der Zielport oder Portbereich (optional)
- Der TCP-Status (optional)
- Fragmente (optional) |
+
+Wenn Sie eine TCP- oder UDP-Regel mit einem Port oder Portbereich konfigurieren, stellen Sie sicher, dass die Felder für Quell- und Zielport entweder eine einzelne Nummer zwischen 1 und 65535 (einschließlich) oder einen Portbereich (zwei durch einen Bindestrich getrennte Nummern, z.B. 8887-8888) enthalten.
> [!primary]
-> Es wird empfohlen, TCP mit der Option `established` zuzulassen (für Pakete, die Teil einer zuvor gestarteten Sitzung sind), außerdem ICMP-Pakete (für Ping und Traceroute) und optional DNS-Antworten über UDP von externen Servern (wenn Sie externe DNS-Server verwenden).
+> Es wird empfohlen, das TCP-Protokoll mit der Option "established" zuzulassen (für Pakete, die Teil einer zuvor geöffneten/gestarteten Sitzung sind), ICMP-Pakete (für Ping und Traceroute) und optional UDP-DNS-Antworten von externen Servern (wenn Sie externe DNS-Server verwenden).
>
> **Konfigurationsbeispiel:**
>
-> - Priorität 0: TCP `established` zulassen
+> - Priorität 0: TCP "established" zulassen
> - Priorität 1: UDP zulassen, Quellport 53
> - Priorität 2: ICMP zulassen
> - Priorität 19: IPv4 ablehnen
> [!warning]
-> Firewall-Setups, die nur akzeptierende Regeln enthalten, sind nicht wirksam. Es muss eine Anweisung geben, welcher Traffic von der Firewall abgelehnt werden soll. Es wird eine Warnung angezeigt, falls eine solche *Deny*-Regel nicht existiert.
->
+> Firewall-Konfigurationen, die nur `Accept`-Regeln enthalten, sind nicht wirksam. Es muss eine Anweisung geben, welcher Traffic von der Firewall abgelehnt werden soll. Es wird eine Warnung angezeigt, falls eine solche `Deny`-Regel nicht erstellt wurde.
+>
**Firewall aktivieren/deaktivieren:**
|  |
-|:--:|
-| `Umschalten`{.action} zum Aktivieren |
+|:--:|
+| `Einschalten`{.action} zum Aktivieren |
+
+Nach der Bestätigung wird die Firewall aktiviert bzw. deaktiviert.
+
+Beachten Sie, dass Regeln deaktiviert bleiben, bis ein Angriff erkannt wird, und dann aktiviert werden. Diese Logik kann für Regeln verwendet werden, die nur bei einem bekannten, wiederkehrenden Angriff aktiv sein sollen.
+
+### Häufige Fehler und Best Practices
-Nach der Bestätigung wird die Firewall aktiviert oder deaktiviert.
+#### Gleichzeitiges Festlegen von Quell- und Zielport in derselben Regel
-Regeln bleiben deaktiviert, bis ein Angriff erkannt wird und werden dann aktiv. Diese Logik kann für Regeln verwendet werden, die nur aktiv sein sollen, wenn ein bekannter wiederholter Angriff eintrifft.
+Beim Erstellen von Firewall-Regeln ist die gleichzeitige Definition von Quell- und Zielport in der Regel eine Fehlkonfiguration, da Quellports typischerweise vom Betriebssystem des Clients zufällig zugewiesen werden (ephemere Ports).
+
+Wenn Sie eine Regel auf einen bestimmten Quellport beschränken, wird sie wahrscheinlich legitimen Traffic verwerfen, sobald sich der Port des Clients bei der nächsten Sitzung ändert. Um die Konnektivität sicherzustellen, sollten Sie nur den Zielport (Ihren Serviceport) angeben.
+
+**Best Practice:** Lassen Sie den Quellport leer, es sei denn, Sie filtern Traffic von einem spezialisierten System mit einer statischen ausgehenden Konfiguration.
+
+#### Große Portbereiche
+
+Das Erstellen von Regeln, die Traffic über sehr große Portbereiche zulassen, kann ein Sicherheitsrisiko darstellen, da es die Angriffsfläche auf Ihrem Server erheblich vergrößert. Dies kann zu verschiedenen Problemen führen:
+
+- Sie können unbeabsichtigt Hintergrunddienste freilegen, die nicht öffentlich zugänglich sein sollten, wodurch möglicherweise Informationen über Ihr System preisgegeben werden und böswillige Akteure Ihre Server auf Schwachstellen untersuchen können.
+- Audit und Fehlerbehebung werden erheblich schwieriger, da es schwerer ist, festzustellen, welche Anwendungen tatsächlich kommunizieren, was potenzielle Fehlkonfigurationen oder Sicherheitsverletzungen verschleiern kann.
+- Große offene UDP-Bereiche werden häufig für Amplification- und Reflection-Angriffe ausgenutzt, da die Wahrscheinlichkeit höher ist, öffentlich zugängliche Dienste zu finden. Angreifer können eine Ziel-IP fälschen, um kleine Anfragen an Dienste in diesem offenen Bereich zu senden, die dann mit deutlich größeren Paketen antworten. Auf diese Weise wird Ihr Server effektiv zum Versenden von DDoS-Angriffen missbraucht, während gleichzeitig Ihre eigene Bandbreite überlastet werden kann.
+
+**Best Practice:** Verwenden Sie nur begrenzte Bereiche für aufeinanderfolgende Ports, die von einer einzelnen Anwendung benötigt werden (z.B. 5000-5100).
### Konfigurationsbeispiel
-Um sicherzustellen, dass bei der Autorisierung des ICMP nur die Standardports für SSH (22), HTTP (80), HTTPS (443) und UDP (53) geöffnet bleiben, können Sie die folgenden Regeln einsetzen:
+Um sicherzustellen, dass bei der Autorisierung von ICMP nur die Standardports für SSH (22), HTTP (80), HTTPS (443) und UDP (53) geöffnet bleiben, verwenden Sie die folgenden Regeln:
{.thumbnail}
-Die Regeln werden von 0 (erste Regel) bis 19 (letzte Regel) sortiert. Die Regelkette wird beendet, sobald eine Regel auf das Paket angewendet wird.
+Die Regeln werden von 0 (die erste gelesene Regel) bis 19 (die letzte) sortiert. Die Regelkette wird beendet, sobald eine Regel auf das Paket angewendet wird.
-Beispiel: Ein Paket für den TCP-Port 80 wird von Regel 2 abgefangen und die folgenden Regeln werden nicht angewendet. Ein Paket für den TCP-Port 25 wird nur von der letzten Regel (19) erfasst, die es blockiert, da die Firewall in den vorherigen Regeln keine Kommunikation auf Port 25 zulässt.
+Beispiel: Ein Paket für TCP-Port 80 wird von Regel 2 abgefangen und die folgenden Regeln werden nicht angewendet. Ein Paket für TCP-Port 25 wird nur von der letzten Regel (19) erfasst, die es blockiert, da die Firewall in den vorherigen Regeln keine Kommunikation auf Port 25 zulässt.
> [!warning]
-> Die oben stehende Konfiguration dient als Beispiel und sollte nur als Referenz verwendet werden, wenn die Regeln nicht auf die auf Ihrem Server gehosteten Dienste zutreffen. Es ist wichtig, dass Sie die Regeln in Ihrer Firewall so konfigurieren, dass sie mit den auf Ihrem Server gehosteten Diensten übereinstimmen. Eine falsche Konfiguration der Firewall-Regeln kann dazu führen, dass legitimer Traffic blockiert wird und auf Serverdienste nicht zugegriffen werden kann.
->
+> Die oben stehende Konfiguration dient nur als Beispiel und sollte nur als Referenz verwendet werden, wenn die Regeln nicht auf die auf Ihrem Server gehosteten Dienste zutreffen. Es ist wichtig, dass Sie die Regeln in Ihrer Firewall so konfigurieren, dass sie mit den auf Ihrem Server gehosteten Diensten übereinstimmen. Eine falsche Konfiguration der Firewall-Regeln kann dazu führen, dass legitimer Traffic blockiert wird und auf Serverdienste nicht zugegriffen werden kann.
+>
-### Schutz vor Angriffen - Aktivität im Scrubbing Center
+### Angriffsminderung - Aktivität im Scrubbing Center
-Unsere Infrastruktur für DDoS-Schutz (VAC) läuft automatisch. Der Schutz erfolgt über das Scrubbing Center. In diesem Bereich untersucht unsere Technik die Datenpakete und versucht, den DDoS-Datenverkehr zu entfernen, während der legitime Datenverkehr durchgelassen wird.
+Unsere DDoS-Schutz-Infrastruktur (VAC) arbeitet automatisch. Der Schutzprozess erfolgt über das automatisierte Scrubbing Center. Dort untersucht unsere fortschrittliche Technologie die Datenpakete eingehend und versucht, den DDoS-Datenverkehr zu entfernen, während der legitime Datenverkehr durchgelassen wird.
-Alle IPs von OVHcloud werden automatisch protektiert. In der Regel ist dies die beste Wahl für Ihre Dienste. Wird illegitimer Traffic entdeckt, wird das Scrubbing Center aktiviert. Dies wird durch den Status „Erzwungen“ für eine bestimmte IP-Adresse angezeigt. Zu diesem Zeitpunkt ist auch die Edge Network Firewall aktiv. Die Situation normalisiert sich wieder, wenn der Angriff abgemildert wurde und keine verdächtigen Aktivitäten mehr beobachtet werden.
+Alle OVHcloud IPs unterliegen der automatischen Mitigation. Wird schädlicher Traffic erkannt, wird das Scrubbing Center aktiviert. Dieser Zustand wird durch den Status "Erzwungen" für eine bestimmte IP-Adresse angezeigt. Zu diesem Zeitpunkt ist auch die Edge Network Firewall aktiv. Die Situation normalisiert sich wieder, wenn der Angriff abgemildert wurde und keine verdächtigen Aktivitäten mehr beobachtet werden.
> [!success]
-> **Hinweis**
+> **Tipps**
>
-> Sie können Firewall-Regeln erstellen, die nur dann gelten, wenn ein Angriff entdeckt wurde. Hierzu müssen Edge Network Firewall-Regeln erstellt, aber deaktiviert werden.
+> Sie können Firewall-Regeln erstellen, die nur nach Erkennung eines Angriffs gelten. Dazu müssen Edge Network Firewall-Regeln erstellt, aber deaktiviert werden.
>
> [!warning]
-> Wenn unsere Anti-DDoS-Infrastruktur einen Angriff abwehrt, werden die Regeln der Edge Network Firewall angewendet, selbst wenn Sie die Firewall deaktiviert haben. Wenn Ihre Firewall deaktiviert bleiben soll, vergessen Sie nicht, auch Ihre Regeln zu löschen.
->
-> Beachten Sie, dass unsere DDoS-Schutz-Infrastruktur für einen Dienst nicht deaktiviert werden kann. Alle OVHcloud Produkte werden im Rahmen des Schutzes geliefert und können nicht ausgenommen werden.
+> Wenn unsere DDoS-Schutz-Infrastruktur einen Angriff abwehrt, werden Ihre Edge Network Firewall-Regeln letztendlich angewendet, auch wenn Sie die Firewall deaktiviert haben. Wenn Sie Ihre Firewall deaktiviert haben, vergessen Sie nicht, auch Ihre Regeln zu löschen.
+>
+> Bitte beachten Sie, dass unsere DDoS-Schutz-Infrastruktur für einen Dienst nicht deaktiviert werden kann. Alle OVHcloud Produkte werden im Rahmen des Schutzes bereitgestellt und dies kann nicht geändert werden.
>
## Network Security Dashboard
-Detaillierte Einblicke in entdeckte Angriffe und die Ergebnisse der Aktivitäten des Scrubbing Centers erhalten Sie in unserem [Network Security Dashboard](/pages/bare_metal_cloud/dedicated_servers/network_security_dashboard).
+Detaillierte Einblicke in erkannte Angriffe und die Ergebnisse der Aktivitäten des Scrubbing Centers erhalten Sie in unserem [Network Security Dashboard](/pages/bare_metal_cloud/dedicated_servers/network_security_dashboard).
## Fazit
-Nachdem Sie dieses Tutorial gelesen haben, sollten Sie in der Lage sein, die Edge Network Firewall zu konfigurieren, um die Sicherheit Ihrer OVHcloud Dienste zu verbessern.
+Nachdem Sie diese Anleitung gelesen haben, sollten Sie in der Lage sein, die Edge Network Firewall zu konfigurieren, um die Sicherheit Ihrer OVHcloud Dienste zu verbessern.
## Weiterführende Informationen
-[Game Server mit der Application Firewall schützen](/pages/bare_metal_cloud/dedicated_servers/firewall_game_ddos)
+- [Einen Game Server mit der Application Firewall schützen](/pages/bare_metal_cloud/dedicated_servers/firewall_game_ddos)
Treten Sie unserer [User Community](/links/community) bei.
diff --git a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-asia.md b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-asia.md
index cae8e09ac47..438ce8d18ca 100644
--- a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-asia.md
+++ b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-asia.md
@@ -1,12 +1,12 @@
---
title: Enabling and configuring the Edge Network Firewall
excerpt: Find out how to configure the Edge Network Firewall for your services
-updated: 2026-01-06
+updated: 2026-03-09
---
## Objective
-To protect customer services exposed on public IP addresses, OVHcloud offers a stateless firewall that is configured and integrated into the **Anti-DDoS infrastructure**: the Edge Network Firewall. It allows to limit service exposure to DDoS attacks, by dropping specified network flows coming from outside of the OVHcloud network.
+To protect customer services exposed on public IP addresses, OVHcloud offers a stateless firewall that is configured and integrated into the **Anti-DDoS infrastructure**: the Edge Network Firewall. It limits exposure to DDoS attacks by dropping specified network flows from outside the OVHcloud network.
**This guide will show you how to configure the Edge Network Firewall for your services.**
@@ -17,7 +17,7 @@ To protect customer services exposed on public IP addresses, OVHcloud offers a s
| Anti-DDoS infrastructure & Game protection services diagram at OVHcloud |
|:--:|
-|  |
+| {.thumbnail} |
## Requirements
@@ -36,7 +36,11 @@ To protect customer services exposed on public IP addresses, OVHcloud offers a s
The Edge Network Firewall reduces exposure to network DDoS attacks by allowing users to copy some of the server's firewall rules to the edge of the OVHcloud network. This blocks incoming attacks as close to their source as possible, reducing the risk of saturating server resources or rack connections in the event of major attacks.
-### Enabling Edge Network Firewall
+### Configure the Edge Network Firewall
+
+The Edge Network Firewall can be enabled or disabled by the user at all times, besides one exception: it is **automatically enabled** when a DDoS attack is detected and **cannot be disabled** until the attack has ended. As a result, all the rules configured in the firewall are applied for the duration of the attack. This logic allows our customers to offload the firewall rules of the server to the edge of the OVHcloud network for the duration of the attack.
+
+#### Access the Edge Network Firewall configuration page
> [!primary]
>
@@ -54,30 +58,32 @@ You can use the drop-down menu underneath **"My public IP addresses and associat
{.thumbnail}
-Next, click the `⁝`{.action} button to the right of the relevant IPv4 and first select `Configure Edge Network Firewall`{.action} (or click on the status badge in the **Edge Firewall** column).
+Next, click the `⁝`{.action} button to the right of the relevant IPv4 and select `Configure Edge Network Firewall`{.action} (or click on the status badge in the **Edge Firewall** column).
{.thumbnail}
You will then be taken to the firewall configuration page.
-You can set up to **20 rules per IP**.
-
-> [!warning]
+> [!primary]
>
-> The Edge Network Firewall is automatically enabled when a DDoS attack is detected and cannot be disabled until the attack has ended. As a result, all the rules configured in the firewall are applied during the duration of the attack. This logic allows our customers to offload the firewall rules of the server to the edge of the OVHcloud network for the duration of the attack.
+> - UDP fragmentation is blocked (DROP) by default. If you are using a VPN, remember to configure your Maximum Transmission Unit (MTU) correctly. For example, with OpenVPN, you can check `MTU test`.
+> - The Edge Network Firewall (ENF) integrated in the scrubbing centres (VAC) only handles network traffic coming from outside the OVHcloud network.
>
+
+> [!warning]
> Please note that you should configure your own local firewalls even if the Edge Network Firewall has been configured, as its main role is to handle traffic from outside of the OVHcloud network.
>
> If you have configured some rules, we recommend that you check them regularly or when changing how your services are working. As previously mentioned, the Edge Network Firewall will be automatically enabled in case of a DDoS attack even when disabled in your IP settings.
>
+### Configure firewall rules
+
+You can set up to **20 rules per IP**.
+
> [!primary]
+> Since March 2026, the Edge Network Firewall supports rules that apply to port ranges, in addition to the usual single-port rules.
>
-> - UDP fragmentation is blocked (DROP) by default. When enabling the Edge Network Firewall, if you are using a VPN, remember to configure your Maximum Transmission Unit (MTU) correctly. For example, with OpenVPN, you can check `MTU test`.
-> - The Edge Network Firewall (ENF) integrated in the scrubbing centres (VAC) only handles network traffic coming from outside the OVHcloud network.
->
-
-### Configure the Edge Network Firewall
+> By using port ranges, you can protect applications that require multiple sequential ports with a single entry. This ensures your configuration stays within the 20-rule limit by eliminating the need for separate rules targeting each individual port.
> [!warning]
> Please note that the OVHcloud Edge Network Firewall cannot be used to open ports on a server. To open ports on a server, you must go through the firewall of the operating system installed on the server.
@@ -85,7 +91,7 @@ You can set up to **20 rules per IP**.
> For more information, please refer to the following guides: [Configuring the firewall on Windows](/pages/bare_metal_cloud/dedicated_servers/activate-port-firewall-soft-win) and [Configuring the firewall on Linux with iptables](/pages/bare_metal_cloud/dedicated_servers/firewall-Linux-iptable).
>
-**To add a rule**, click on the `+ Add a rule`{.action} button, on the top left :
+**To add a rule**, click on the `+ Add a rule`{.action} button, on the top left:
|  |
|:--:|
@@ -93,15 +99,17 @@ You can set up to **20 rules per IP**.
For each rule (excluding TCP), you must choose:
-|  |
-|:--|
-| • A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
• An action (`Accept`{.action} or `Deny`{.action})
• The protocol
• Source IP (optional) |
+| {.thumbnail} |
+|:--|
+| - A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
- An action (`Accept`{.action} or `Deny`{.action})
- The protocol
- Source IP (optional) |
For each **TCP** rule, you must choose:
-|  |
-|:--|
-| • A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
• An action (`Accept`{.action} or `Deny`{.action})
• The protocol
• Source IP (optional)
• The source port (optional)
• The destination port (optional)
• The TCP state (optional)
• Fragments (optional)|
+| {.thumbnail} |
+|:--|
+| - A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
- An action (`Accept`{.action} or `Deny`{.action})
- The protocol
- Source IP (optional)
- The source port or port range (optional)
- The destination port or port range (optional)
- The TCP state (optional)
- Fragments (optional) |
+
+When configuring a TCP or UDP rule with a port or port range, ensure the source and destination port fields contain either a single number between 1 and 65535 (inclusive), or a port range (two numbers separated by a hyphen, e.g. 8887-8888).
> [!primary]
> We advise authorising TCP protocol with an established option (for packets that are part of a previously opened/started session), ICMP packets (for ping and traceroute) and optionally UDP DNS responses from external servers (if you use external DNS servers).
@@ -114,7 +122,7 @@ For each **TCP** rule, you must choose:
> - Priority 19: Refuse IPv4
> [!warning]
-> Firewall setups with only "Accept" mode rules are not effective at all. There must be an instruction as to which traffic should be dropped by the firewall. You will see a warning unless such a "Deny" rule is created.
+> Firewall setups with only `Accept` mode rules are not effective at all. There must be an instruction as to which traffic should be dropped by the firewall. You will see a warning unless such a `Deny` rule is created.
>
**Enable/disable firewall:**
@@ -127,6 +135,26 @@ After confirmation, the firewall will be enabled or disabled.
Note that rules are disabled until the moment an attack is detected - then they are activated. This logic can be used for rules that are only active when a known repeated attack is incoming.
+### Common mistakes and best practices
+
+#### Setting both source and destination ports in the same rule
+
+When creating firewall rules, defining both source and destination ports is usually misconfiguration, as source ports are typically assigned randomly by the client’s operating system (ephemeral ports).
+
+If you lock a rule to a specific source port, it will likely drop legitimate traffic as soon as the client's port changes for the next session. To ensure connectivity, you should only specify the destination port (your service port).
+
+**Best Practice:** Leave the source port empty, unless you are filtering traffic from a specialized system with a static outbound configuration.
+
+#### Large port ranges
+
+Creating rules allowing traffic over very large port ranges may be a security risk, as it significantly expands the attack surface on your server. This can result in several issues:
+
+- You may inadvertently expose background services that were not meant to be public-facing, thus potentially leaking information about your system, and allowing malicious actors to probe your servers for vulnerabilities.
+- Audit and troubleshooting become significantly more difficult, as it is harder to check which applications are actually communicating, masking potential misconfigurations or breaches.
+- Large open UDP ranges are frequently targeted by amplification and reflection attacks, as there is a higher chance of finding public-facing services. Attackers can spoof a targeted IP to send small requests to services in that open range, which then respond with much larger packets. This way, they are effectively using your server to send DDoS attacks, while potentially overwhelming your own bandwidth.
+
+**Best Practice:** Only use limited ranges for sequential ports required by a single application (e.g. 5000-5100).
+
### Configuration example
To make sure that only the standard ports for SSH (22), HTTP (80), HTTPS (443) and UDP (53) are left open when authorising the ICMP, follow the rules below:
diff --git a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-au.md b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-au.md
index cae8e09ac47..438ce8d18ca 100644
--- a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-au.md
+++ b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-au.md
@@ -1,12 +1,12 @@
---
title: Enabling and configuring the Edge Network Firewall
excerpt: Find out how to configure the Edge Network Firewall for your services
-updated: 2026-01-06
+updated: 2026-03-09
---
## Objective
-To protect customer services exposed on public IP addresses, OVHcloud offers a stateless firewall that is configured and integrated into the **Anti-DDoS infrastructure**: the Edge Network Firewall. It allows to limit service exposure to DDoS attacks, by dropping specified network flows coming from outside of the OVHcloud network.
+To protect customer services exposed on public IP addresses, OVHcloud offers a stateless firewall that is configured and integrated into the **Anti-DDoS infrastructure**: the Edge Network Firewall. It limits exposure to DDoS attacks by dropping specified network flows from outside the OVHcloud network.
**This guide will show you how to configure the Edge Network Firewall for your services.**
@@ -17,7 +17,7 @@ To protect customer services exposed on public IP addresses, OVHcloud offers a s
| Anti-DDoS infrastructure & Game protection services diagram at OVHcloud |
|:--:|
-|  |
+| {.thumbnail} |
## Requirements
@@ -36,7 +36,11 @@ To protect customer services exposed on public IP addresses, OVHcloud offers a s
The Edge Network Firewall reduces exposure to network DDoS attacks by allowing users to copy some of the server's firewall rules to the edge of the OVHcloud network. This blocks incoming attacks as close to their source as possible, reducing the risk of saturating server resources or rack connections in the event of major attacks.
-### Enabling Edge Network Firewall
+### Configure the Edge Network Firewall
+
+The Edge Network Firewall can be enabled or disabled by the user at all times, besides one exception: it is **automatically enabled** when a DDoS attack is detected and **cannot be disabled** until the attack has ended. As a result, all the rules configured in the firewall are applied for the duration of the attack. This logic allows our customers to offload the firewall rules of the server to the edge of the OVHcloud network for the duration of the attack.
+
+#### Access the Edge Network Firewall configuration page
> [!primary]
>
@@ -54,30 +58,32 @@ You can use the drop-down menu underneath **"My public IP addresses and associat
{.thumbnail}
-Next, click the `⁝`{.action} button to the right of the relevant IPv4 and first select `Configure Edge Network Firewall`{.action} (or click on the status badge in the **Edge Firewall** column).
+Next, click the `⁝`{.action} button to the right of the relevant IPv4 and select `Configure Edge Network Firewall`{.action} (or click on the status badge in the **Edge Firewall** column).
{.thumbnail}
You will then be taken to the firewall configuration page.
-You can set up to **20 rules per IP**.
-
-> [!warning]
+> [!primary]
>
-> The Edge Network Firewall is automatically enabled when a DDoS attack is detected and cannot be disabled until the attack has ended. As a result, all the rules configured in the firewall are applied during the duration of the attack. This logic allows our customers to offload the firewall rules of the server to the edge of the OVHcloud network for the duration of the attack.
+> - UDP fragmentation is blocked (DROP) by default. If you are using a VPN, remember to configure your Maximum Transmission Unit (MTU) correctly. For example, with OpenVPN, you can check `MTU test`.
+> - The Edge Network Firewall (ENF) integrated in the scrubbing centres (VAC) only handles network traffic coming from outside the OVHcloud network.
>
+
+> [!warning]
> Please note that you should configure your own local firewalls even if the Edge Network Firewall has been configured, as its main role is to handle traffic from outside of the OVHcloud network.
>
> If you have configured some rules, we recommend that you check them regularly or when changing how your services are working. As previously mentioned, the Edge Network Firewall will be automatically enabled in case of a DDoS attack even when disabled in your IP settings.
>
+### Configure firewall rules
+
+You can set up to **20 rules per IP**.
+
> [!primary]
+> Since March 2026, the Edge Network Firewall supports rules that apply to port ranges, in addition to the usual single-port rules.
>
-> - UDP fragmentation is blocked (DROP) by default. When enabling the Edge Network Firewall, if you are using a VPN, remember to configure your Maximum Transmission Unit (MTU) correctly. For example, with OpenVPN, you can check `MTU test`.
-> - The Edge Network Firewall (ENF) integrated in the scrubbing centres (VAC) only handles network traffic coming from outside the OVHcloud network.
->
-
-### Configure the Edge Network Firewall
+> By using port ranges, you can protect applications that require multiple sequential ports with a single entry. This ensures your configuration stays within the 20-rule limit by eliminating the need for separate rules targeting each individual port.
> [!warning]
> Please note that the OVHcloud Edge Network Firewall cannot be used to open ports on a server. To open ports on a server, you must go through the firewall of the operating system installed on the server.
@@ -85,7 +91,7 @@ You can set up to **20 rules per IP**.
> For more information, please refer to the following guides: [Configuring the firewall on Windows](/pages/bare_metal_cloud/dedicated_servers/activate-port-firewall-soft-win) and [Configuring the firewall on Linux with iptables](/pages/bare_metal_cloud/dedicated_servers/firewall-Linux-iptable).
>
-**To add a rule**, click on the `+ Add a rule`{.action} button, on the top left :
+**To add a rule**, click on the `+ Add a rule`{.action} button, on the top left:
|  |
|:--:|
@@ -93,15 +99,17 @@ You can set up to **20 rules per IP**.
For each rule (excluding TCP), you must choose:
-|  |
-|:--|
-| • A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
• An action (`Accept`{.action} or `Deny`{.action})
• The protocol
• Source IP (optional) |
+| {.thumbnail} |
+|:--|
+| - A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
- An action (`Accept`{.action} or `Deny`{.action})
- The protocol
- Source IP (optional) |
For each **TCP** rule, you must choose:
-|  |
-|:--|
-| • A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
• An action (`Accept`{.action} or `Deny`{.action})
• The protocol
• Source IP (optional)
• The source port (optional)
• The destination port (optional)
• The TCP state (optional)
• Fragments (optional)|
+| {.thumbnail} |
+|:--|
+| - A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
- An action (`Accept`{.action} or `Deny`{.action})
- The protocol
- Source IP (optional)
- The source port or port range (optional)
- The destination port or port range (optional)
- The TCP state (optional)
- Fragments (optional) |
+
+When configuring a TCP or UDP rule with a port or port range, ensure the source and destination port fields contain either a single number between 1 and 65535 (inclusive), or a port range (two numbers separated by a hyphen, e.g. 8887-8888).
> [!primary]
> We advise authorising TCP protocol with an established option (for packets that are part of a previously opened/started session), ICMP packets (for ping and traceroute) and optionally UDP DNS responses from external servers (if you use external DNS servers).
@@ -114,7 +122,7 @@ For each **TCP** rule, you must choose:
> - Priority 19: Refuse IPv4
> [!warning]
-> Firewall setups with only "Accept" mode rules are not effective at all. There must be an instruction as to which traffic should be dropped by the firewall. You will see a warning unless such a "Deny" rule is created.
+> Firewall setups with only `Accept` mode rules are not effective at all. There must be an instruction as to which traffic should be dropped by the firewall. You will see a warning unless such a `Deny` rule is created.
>
**Enable/disable firewall:**
@@ -127,6 +135,26 @@ After confirmation, the firewall will be enabled or disabled.
Note that rules are disabled until the moment an attack is detected - then they are activated. This logic can be used for rules that are only active when a known repeated attack is incoming.
+### Common mistakes and best practices
+
+#### Setting both source and destination ports in the same rule
+
+When creating firewall rules, defining both source and destination ports is usually misconfiguration, as source ports are typically assigned randomly by the client’s operating system (ephemeral ports).
+
+If you lock a rule to a specific source port, it will likely drop legitimate traffic as soon as the client's port changes for the next session. To ensure connectivity, you should only specify the destination port (your service port).
+
+**Best Practice:** Leave the source port empty, unless you are filtering traffic from a specialized system with a static outbound configuration.
+
+#### Large port ranges
+
+Creating rules allowing traffic over very large port ranges may be a security risk, as it significantly expands the attack surface on your server. This can result in several issues:
+
+- You may inadvertently expose background services that were not meant to be public-facing, thus potentially leaking information about your system, and allowing malicious actors to probe your servers for vulnerabilities.
+- Audit and troubleshooting become significantly more difficult, as it is harder to check which applications are actually communicating, masking potential misconfigurations or breaches.
+- Large open UDP ranges are frequently targeted by amplification and reflection attacks, as there is a higher chance of finding public-facing services. Attackers can spoof a targeted IP to send small requests to services in that open range, which then respond with much larger packets. This way, they are effectively using your server to send DDoS attacks, while potentially overwhelming your own bandwidth.
+
+**Best Practice:** Only use limited ranges for sequential ports required by a single application (e.g. 5000-5100).
+
### Configuration example
To make sure that only the standard ports for SSH (22), HTTP (80), HTTPS (443) and UDP (53) are left open when authorising the ICMP, follow the rules below:
diff --git a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-ca.md b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-ca.md
index cae8e09ac47..438ce8d18ca 100644
--- a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-ca.md
+++ b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-ca.md
@@ -1,12 +1,12 @@
---
title: Enabling and configuring the Edge Network Firewall
excerpt: Find out how to configure the Edge Network Firewall for your services
-updated: 2026-01-06
+updated: 2026-03-09
---
## Objective
-To protect customer services exposed on public IP addresses, OVHcloud offers a stateless firewall that is configured and integrated into the **Anti-DDoS infrastructure**: the Edge Network Firewall. It allows to limit service exposure to DDoS attacks, by dropping specified network flows coming from outside of the OVHcloud network.
+To protect customer services exposed on public IP addresses, OVHcloud offers a stateless firewall that is configured and integrated into the **Anti-DDoS infrastructure**: the Edge Network Firewall. It limits exposure to DDoS attacks by dropping specified network flows from outside the OVHcloud network.
**This guide will show you how to configure the Edge Network Firewall for your services.**
@@ -17,7 +17,7 @@ To protect customer services exposed on public IP addresses, OVHcloud offers a s
| Anti-DDoS infrastructure & Game protection services diagram at OVHcloud |
|:--:|
-|  |
+| {.thumbnail} |
## Requirements
@@ -36,7 +36,11 @@ To protect customer services exposed on public IP addresses, OVHcloud offers a s
The Edge Network Firewall reduces exposure to network DDoS attacks by allowing users to copy some of the server's firewall rules to the edge of the OVHcloud network. This blocks incoming attacks as close to their source as possible, reducing the risk of saturating server resources or rack connections in the event of major attacks.
-### Enabling Edge Network Firewall
+### Configure the Edge Network Firewall
+
+The Edge Network Firewall can be enabled or disabled by the user at all times, besides one exception: it is **automatically enabled** when a DDoS attack is detected and **cannot be disabled** until the attack has ended. As a result, all the rules configured in the firewall are applied for the duration of the attack. This logic allows our customers to offload the firewall rules of the server to the edge of the OVHcloud network for the duration of the attack.
+
+#### Access the Edge Network Firewall configuration page
> [!primary]
>
@@ -54,30 +58,32 @@ You can use the drop-down menu underneath **"My public IP addresses and associat
{.thumbnail}
-Next, click the `⁝`{.action} button to the right of the relevant IPv4 and first select `Configure Edge Network Firewall`{.action} (or click on the status badge in the **Edge Firewall** column).
+Next, click the `⁝`{.action} button to the right of the relevant IPv4 and select `Configure Edge Network Firewall`{.action} (or click on the status badge in the **Edge Firewall** column).
{.thumbnail}
You will then be taken to the firewall configuration page.
-You can set up to **20 rules per IP**.
-
-> [!warning]
+> [!primary]
>
-> The Edge Network Firewall is automatically enabled when a DDoS attack is detected and cannot be disabled until the attack has ended. As a result, all the rules configured in the firewall are applied during the duration of the attack. This logic allows our customers to offload the firewall rules of the server to the edge of the OVHcloud network for the duration of the attack.
+> - UDP fragmentation is blocked (DROP) by default. If you are using a VPN, remember to configure your Maximum Transmission Unit (MTU) correctly. For example, with OpenVPN, you can check `MTU test`.
+> - The Edge Network Firewall (ENF) integrated in the scrubbing centres (VAC) only handles network traffic coming from outside the OVHcloud network.
>
+
+> [!warning]
> Please note that you should configure your own local firewalls even if the Edge Network Firewall has been configured, as its main role is to handle traffic from outside of the OVHcloud network.
>
> If you have configured some rules, we recommend that you check them regularly or when changing how your services are working. As previously mentioned, the Edge Network Firewall will be automatically enabled in case of a DDoS attack even when disabled in your IP settings.
>
+### Configure firewall rules
+
+You can set up to **20 rules per IP**.
+
> [!primary]
+> Since March 2026, the Edge Network Firewall supports rules that apply to port ranges, in addition to the usual single-port rules.
>
-> - UDP fragmentation is blocked (DROP) by default. When enabling the Edge Network Firewall, if you are using a VPN, remember to configure your Maximum Transmission Unit (MTU) correctly. For example, with OpenVPN, you can check `MTU test`.
-> - The Edge Network Firewall (ENF) integrated in the scrubbing centres (VAC) only handles network traffic coming from outside the OVHcloud network.
->
-
-### Configure the Edge Network Firewall
+> By using port ranges, you can protect applications that require multiple sequential ports with a single entry. This ensures your configuration stays within the 20-rule limit by eliminating the need for separate rules targeting each individual port.
> [!warning]
> Please note that the OVHcloud Edge Network Firewall cannot be used to open ports on a server. To open ports on a server, you must go through the firewall of the operating system installed on the server.
@@ -85,7 +91,7 @@ You can set up to **20 rules per IP**.
> For more information, please refer to the following guides: [Configuring the firewall on Windows](/pages/bare_metal_cloud/dedicated_servers/activate-port-firewall-soft-win) and [Configuring the firewall on Linux with iptables](/pages/bare_metal_cloud/dedicated_servers/firewall-Linux-iptable).
>
-**To add a rule**, click on the `+ Add a rule`{.action} button, on the top left :
+**To add a rule**, click on the `+ Add a rule`{.action} button, on the top left:
|  |
|:--:|
@@ -93,15 +99,17 @@ You can set up to **20 rules per IP**.
For each rule (excluding TCP), you must choose:
-|  |
-|:--|
-| • A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
• An action (`Accept`{.action} or `Deny`{.action})
• The protocol
• Source IP (optional) |
+| {.thumbnail} |
+|:--|
+| - A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
- An action (`Accept`{.action} or `Deny`{.action})
- The protocol
- Source IP (optional) |
For each **TCP** rule, you must choose:
-|  |
-|:--|
-| • A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
• An action (`Accept`{.action} or `Deny`{.action})
• The protocol
• Source IP (optional)
• The source port (optional)
• The destination port (optional)
• The TCP state (optional)
• Fragments (optional)|
+| {.thumbnail} |
+|:--|
+| - A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
- An action (`Accept`{.action} or `Deny`{.action})
- The protocol
- Source IP (optional)
- The source port or port range (optional)
- The destination port or port range (optional)
- The TCP state (optional)
- Fragments (optional) |
+
+When configuring a TCP or UDP rule with a port or port range, ensure the source and destination port fields contain either a single number between 1 and 65535 (inclusive), or a port range (two numbers separated by a hyphen, e.g. 8887-8888).
> [!primary]
> We advise authorising TCP protocol with an established option (for packets that are part of a previously opened/started session), ICMP packets (for ping and traceroute) and optionally UDP DNS responses from external servers (if you use external DNS servers).
@@ -114,7 +122,7 @@ For each **TCP** rule, you must choose:
> - Priority 19: Refuse IPv4
> [!warning]
-> Firewall setups with only "Accept" mode rules are not effective at all. There must be an instruction as to which traffic should be dropped by the firewall. You will see a warning unless such a "Deny" rule is created.
+> Firewall setups with only `Accept` mode rules are not effective at all. There must be an instruction as to which traffic should be dropped by the firewall. You will see a warning unless such a `Deny` rule is created.
>
**Enable/disable firewall:**
@@ -127,6 +135,26 @@ After confirmation, the firewall will be enabled or disabled.
Note that rules are disabled until the moment an attack is detected - then they are activated. This logic can be used for rules that are only active when a known repeated attack is incoming.
+### Common mistakes and best practices
+
+#### Setting both source and destination ports in the same rule
+
+When creating firewall rules, defining both source and destination ports is usually misconfiguration, as source ports are typically assigned randomly by the client’s operating system (ephemeral ports).
+
+If you lock a rule to a specific source port, it will likely drop legitimate traffic as soon as the client's port changes for the next session. To ensure connectivity, you should only specify the destination port (your service port).
+
+**Best Practice:** Leave the source port empty, unless you are filtering traffic from a specialized system with a static outbound configuration.
+
+#### Large port ranges
+
+Creating rules allowing traffic over very large port ranges may be a security risk, as it significantly expands the attack surface on your server. This can result in several issues:
+
+- You may inadvertently expose background services that were not meant to be public-facing, thus potentially leaking information about your system, and allowing malicious actors to probe your servers for vulnerabilities.
+- Audit and troubleshooting become significantly more difficult, as it is harder to check which applications are actually communicating, masking potential misconfigurations or breaches.
+- Large open UDP ranges are frequently targeted by amplification and reflection attacks, as there is a higher chance of finding public-facing services. Attackers can spoof a targeted IP to send small requests to services in that open range, which then respond with much larger packets. This way, they are effectively using your server to send DDoS attacks, while potentially overwhelming your own bandwidth.
+
+**Best Practice:** Only use limited ranges for sequential ports required by a single application (e.g. 5000-5100).
+
### Configuration example
To make sure that only the standard ports for SSH (22), HTTP (80), HTTPS (443) and UDP (53) are left open when authorising the ICMP, follow the rules below:
diff --git a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-gb.md b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-gb.md
index cae8e09ac47..438ce8d18ca 100644
--- a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-gb.md
+++ b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-gb.md
@@ -1,12 +1,12 @@
---
title: Enabling and configuring the Edge Network Firewall
excerpt: Find out how to configure the Edge Network Firewall for your services
-updated: 2026-01-06
+updated: 2026-03-09
---
## Objective
-To protect customer services exposed on public IP addresses, OVHcloud offers a stateless firewall that is configured and integrated into the **Anti-DDoS infrastructure**: the Edge Network Firewall. It allows to limit service exposure to DDoS attacks, by dropping specified network flows coming from outside of the OVHcloud network.
+To protect customer services exposed on public IP addresses, OVHcloud offers a stateless firewall that is configured and integrated into the **Anti-DDoS infrastructure**: the Edge Network Firewall. It limits exposure to DDoS attacks by dropping specified network flows from outside the OVHcloud network.
**This guide will show you how to configure the Edge Network Firewall for your services.**
@@ -17,7 +17,7 @@ To protect customer services exposed on public IP addresses, OVHcloud offers a s
| Anti-DDoS infrastructure & Game protection services diagram at OVHcloud |
|:--:|
-|  |
+| {.thumbnail} |
## Requirements
@@ -36,7 +36,11 @@ To protect customer services exposed on public IP addresses, OVHcloud offers a s
The Edge Network Firewall reduces exposure to network DDoS attacks by allowing users to copy some of the server's firewall rules to the edge of the OVHcloud network. This blocks incoming attacks as close to their source as possible, reducing the risk of saturating server resources or rack connections in the event of major attacks.
-### Enabling Edge Network Firewall
+### Configure the Edge Network Firewall
+
+The Edge Network Firewall can be enabled or disabled by the user at all times, besides one exception: it is **automatically enabled** when a DDoS attack is detected and **cannot be disabled** until the attack has ended. As a result, all the rules configured in the firewall are applied for the duration of the attack. This logic allows our customers to offload the firewall rules of the server to the edge of the OVHcloud network for the duration of the attack.
+
+#### Access the Edge Network Firewall configuration page
> [!primary]
>
@@ -54,30 +58,32 @@ You can use the drop-down menu underneath **"My public IP addresses and associat
{.thumbnail}
-Next, click the `⁝`{.action} button to the right of the relevant IPv4 and first select `Configure Edge Network Firewall`{.action} (or click on the status badge in the **Edge Firewall** column).
+Next, click the `⁝`{.action} button to the right of the relevant IPv4 and select `Configure Edge Network Firewall`{.action} (or click on the status badge in the **Edge Firewall** column).
{.thumbnail}
You will then be taken to the firewall configuration page.
-You can set up to **20 rules per IP**.
-
-> [!warning]
+> [!primary]
>
-> The Edge Network Firewall is automatically enabled when a DDoS attack is detected and cannot be disabled until the attack has ended. As a result, all the rules configured in the firewall are applied during the duration of the attack. This logic allows our customers to offload the firewall rules of the server to the edge of the OVHcloud network for the duration of the attack.
+> - UDP fragmentation is blocked (DROP) by default. If you are using a VPN, remember to configure your Maximum Transmission Unit (MTU) correctly. For example, with OpenVPN, you can check `MTU test`.
+> - The Edge Network Firewall (ENF) integrated in the scrubbing centres (VAC) only handles network traffic coming from outside the OVHcloud network.
>
+
+> [!warning]
> Please note that you should configure your own local firewalls even if the Edge Network Firewall has been configured, as its main role is to handle traffic from outside of the OVHcloud network.
>
> If you have configured some rules, we recommend that you check them regularly or when changing how your services are working. As previously mentioned, the Edge Network Firewall will be automatically enabled in case of a DDoS attack even when disabled in your IP settings.
>
+### Configure firewall rules
+
+You can set up to **20 rules per IP**.
+
> [!primary]
+> Since March 2026, the Edge Network Firewall supports rules that apply to port ranges, in addition to the usual single-port rules.
>
-> - UDP fragmentation is blocked (DROP) by default. When enabling the Edge Network Firewall, if you are using a VPN, remember to configure your Maximum Transmission Unit (MTU) correctly. For example, with OpenVPN, you can check `MTU test`.
-> - The Edge Network Firewall (ENF) integrated in the scrubbing centres (VAC) only handles network traffic coming from outside the OVHcloud network.
->
-
-### Configure the Edge Network Firewall
+> By using port ranges, you can protect applications that require multiple sequential ports with a single entry. This ensures your configuration stays within the 20-rule limit by eliminating the need for separate rules targeting each individual port.
> [!warning]
> Please note that the OVHcloud Edge Network Firewall cannot be used to open ports on a server. To open ports on a server, you must go through the firewall of the operating system installed on the server.
@@ -85,7 +91,7 @@ You can set up to **20 rules per IP**.
> For more information, please refer to the following guides: [Configuring the firewall on Windows](/pages/bare_metal_cloud/dedicated_servers/activate-port-firewall-soft-win) and [Configuring the firewall on Linux with iptables](/pages/bare_metal_cloud/dedicated_servers/firewall-Linux-iptable).
>
-**To add a rule**, click on the `+ Add a rule`{.action} button, on the top left :
+**To add a rule**, click on the `+ Add a rule`{.action} button, on the top left:
|  |
|:--:|
@@ -93,15 +99,17 @@ You can set up to **20 rules per IP**.
For each rule (excluding TCP), you must choose:
-|  |
-|:--|
-| • A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
• An action (`Accept`{.action} or `Deny`{.action})
• The protocol
• Source IP (optional) |
+| {.thumbnail} |
+|:--|
+| - A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
- An action (`Accept`{.action} or `Deny`{.action})
- The protocol
- Source IP (optional) |
For each **TCP** rule, you must choose:
-|  |
-|:--|
-| • A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
• An action (`Accept`{.action} or `Deny`{.action})
• The protocol
• Source IP (optional)
• The source port (optional)
• The destination port (optional)
• The TCP state (optional)
• Fragments (optional)|
+| {.thumbnail} |
+|:--|
+| - A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
- An action (`Accept`{.action} or `Deny`{.action})
- The protocol
- Source IP (optional)
- The source port or port range (optional)
- The destination port or port range (optional)
- The TCP state (optional)
- Fragments (optional) |
+
+When configuring a TCP or UDP rule with a port or port range, ensure the source and destination port fields contain either a single number between 1 and 65535 (inclusive), or a port range (two numbers separated by a hyphen, e.g. 8887-8888).
> [!primary]
> We advise authorising TCP protocol with an established option (for packets that are part of a previously opened/started session), ICMP packets (for ping and traceroute) and optionally UDP DNS responses from external servers (if you use external DNS servers).
@@ -114,7 +122,7 @@ For each **TCP** rule, you must choose:
> - Priority 19: Refuse IPv4
> [!warning]
-> Firewall setups with only "Accept" mode rules are not effective at all. There must be an instruction as to which traffic should be dropped by the firewall. You will see a warning unless such a "Deny" rule is created.
+> Firewall setups with only `Accept` mode rules are not effective at all. There must be an instruction as to which traffic should be dropped by the firewall. You will see a warning unless such a `Deny` rule is created.
>
**Enable/disable firewall:**
@@ -127,6 +135,26 @@ After confirmation, the firewall will be enabled or disabled.
Note that rules are disabled until the moment an attack is detected - then they are activated. This logic can be used for rules that are only active when a known repeated attack is incoming.
+### Common mistakes and best practices
+
+#### Setting both source and destination ports in the same rule
+
+When creating firewall rules, defining both source and destination ports is usually misconfiguration, as source ports are typically assigned randomly by the client’s operating system (ephemeral ports).
+
+If you lock a rule to a specific source port, it will likely drop legitimate traffic as soon as the client's port changes for the next session. To ensure connectivity, you should only specify the destination port (your service port).
+
+**Best Practice:** Leave the source port empty, unless you are filtering traffic from a specialized system with a static outbound configuration.
+
+#### Large port ranges
+
+Creating rules allowing traffic over very large port ranges may be a security risk, as it significantly expands the attack surface on your server. This can result in several issues:
+
+- You may inadvertently expose background services that were not meant to be public-facing, thus potentially leaking information about your system, and allowing malicious actors to probe your servers for vulnerabilities.
+- Audit and troubleshooting become significantly more difficult, as it is harder to check which applications are actually communicating, masking potential misconfigurations or breaches.
+- Large open UDP ranges are frequently targeted by amplification and reflection attacks, as there is a higher chance of finding public-facing services. Attackers can spoof a targeted IP to send small requests to services in that open range, which then respond with much larger packets. This way, they are effectively using your server to send DDoS attacks, while potentially overwhelming your own bandwidth.
+
+**Best Practice:** Only use limited ranges for sequential ports required by a single application (e.g. 5000-5100).
+
### Configuration example
To make sure that only the standard ports for SSH (22), HTTP (80), HTTPS (443) and UDP (53) are left open when authorising the ICMP, follow the rules below:
diff --git a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-ie.md b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-ie.md
index cae8e09ac47..438ce8d18ca 100644
--- a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-ie.md
+++ b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-ie.md
@@ -1,12 +1,12 @@
---
title: Enabling and configuring the Edge Network Firewall
excerpt: Find out how to configure the Edge Network Firewall for your services
-updated: 2026-01-06
+updated: 2026-03-09
---
## Objective
-To protect customer services exposed on public IP addresses, OVHcloud offers a stateless firewall that is configured and integrated into the **Anti-DDoS infrastructure**: the Edge Network Firewall. It allows to limit service exposure to DDoS attacks, by dropping specified network flows coming from outside of the OVHcloud network.
+To protect customer services exposed on public IP addresses, OVHcloud offers a stateless firewall that is configured and integrated into the **Anti-DDoS infrastructure**: the Edge Network Firewall. It limits exposure to DDoS attacks by dropping specified network flows from outside the OVHcloud network.
**This guide will show you how to configure the Edge Network Firewall for your services.**
@@ -17,7 +17,7 @@ To protect customer services exposed on public IP addresses, OVHcloud offers a s
| Anti-DDoS infrastructure & Game protection services diagram at OVHcloud |
|:--:|
-|  |
+| {.thumbnail} |
## Requirements
@@ -36,7 +36,11 @@ To protect customer services exposed on public IP addresses, OVHcloud offers a s
The Edge Network Firewall reduces exposure to network DDoS attacks by allowing users to copy some of the server's firewall rules to the edge of the OVHcloud network. This blocks incoming attacks as close to their source as possible, reducing the risk of saturating server resources or rack connections in the event of major attacks.
-### Enabling Edge Network Firewall
+### Configure the Edge Network Firewall
+
+The Edge Network Firewall can be enabled or disabled by the user at all times, besides one exception: it is **automatically enabled** when a DDoS attack is detected and **cannot be disabled** until the attack has ended. As a result, all the rules configured in the firewall are applied for the duration of the attack. This logic allows our customers to offload the firewall rules of the server to the edge of the OVHcloud network for the duration of the attack.
+
+#### Access the Edge Network Firewall configuration page
> [!primary]
>
@@ -54,30 +58,32 @@ You can use the drop-down menu underneath **"My public IP addresses and associat
{.thumbnail}
-Next, click the `⁝`{.action} button to the right of the relevant IPv4 and first select `Configure Edge Network Firewall`{.action} (or click on the status badge in the **Edge Firewall** column).
+Next, click the `⁝`{.action} button to the right of the relevant IPv4 and select `Configure Edge Network Firewall`{.action} (or click on the status badge in the **Edge Firewall** column).
{.thumbnail}
You will then be taken to the firewall configuration page.
-You can set up to **20 rules per IP**.
-
-> [!warning]
+> [!primary]
>
-> The Edge Network Firewall is automatically enabled when a DDoS attack is detected and cannot be disabled until the attack has ended. As a result, all the rules configured in the firewall are applied during the duration of the attack. This logic allows our customers to offload the firewall rules of the server to the edge of the OVHcloud network for the duration of the attack.
+> - UDP fragmentation is blocked (DROP) by default. If you are using a VPN, remember to configure your Maximum Transmission Unit (MTU) correctly. For example, with OpenVPN, you can check `MTU test`.
+> - The Edge Network Firewall (ENF) integrated in the scrubbing centres (VAC) only handles network traffic coming from outside the OVHcloud network.
>
+
+> [!warning]
> Please note that you should configure your own local firewalls even if the Edge Network Firewall has been configured, as its main role is to handle traffic from outside of the OVHcloud network.
>
> If you have configured some rules, we recommend that you check them regularly or when changing how your services are working. As previously mentioned, the Edge Network Firewall will be automatically enabled in case of a DDoS attack even when disabled in your IP settings.
>
+### Configure firewall rules
+
+You can set up to **20 rules per IP**.
+
> [!primary]
+> Since March 2026, the Edge Network Firewall supports rules that apply to port ranges, in addition to the usual single-port rules.
>
-> - UDP fragmentation is blocked (DROP) by default. When enabling the Edge Network Firewall, if you are using a VPN, remember to configure your Maximum Transmission Unit (MTU) correctly. For example, with OpenVPN, you can check `MTU test`.
-> - The Edge Network Firewall (ENF) integrated in the scrubbing centres (VAC) only handles network traffic coming from outside the OVHcloud network.
->
-
-### Configure the Edge Network Firewall
+> By using port ranges, you can protect applications that require multiple sequential ports with a single entry. This ensures your configuration stays within the 20-rule limit by eliminating the need for separate rules targeting each individual port.
> [!warning]
> Please note that the OVHcloud Edge Network Firewall cannot be used to open ports on a server. To open ports on a server, you must go through the firewall of the operating system installed on the server.
@@ -85,7 +91,7 @@ You can set up to **20 rules per IP**.
> For more information, please refer to the following guides: [Configuring the firewall on Windows](/pages/bare_metal_cloud/dedicated_servers/activate-port-firewall-soft-win) and [Configuring the firewall on Linux with iptables](/pages/bare_metal_cloud/dedicated_servers/firewall-Linux-iptable).
>
-**To add a rule**, click on the `+ Add a rule`{.action} button, on the top left :
+**To add a rule**, click on the `+ Add a rule`{.action} button, on the top left:
|  |
|:--:|
@@ -93,15 +99,17 @@ You can set up to **20 rules per IP**.
For each rule (excluding TCP), you must choose:
-|  |
-|:--|
-| • A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
• An action (`Accept`{.action} or `Deny`{.action})
• The protocol
• Source IP (optional) |
+| {.thumbnail} |
+|:--|
+| - A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
- An action (`Accept`{.action} or `Deny`{.action})
- The protocol
- Source IP (optional) |
For each **TCP** rule, you must choose:
-|  |
-|:--|
-| • A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
• An action (`Accept`{.action} or `Deny`{.action})
• The protocol
• Source IP (optional)
• The source port (optional)
• The destination port (optional)
• The TCP state (optional)
• Fragments (optional)|
+| {.thumbnail} |
+|:--|
+| - A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
- An action (`Accept`{.action} or `Deny`{.action})
- The protocol
- Source IP (optional)
- The source port or port range (optional)
- The destination port or port range (optional)
- The TCP state (optional)
- Fragments (optional) |
+
+When configuring a TCP or UDP rule with a port or port range, ensure the source and destination port fields contain either a single number between 1 and 65535 (inclusive), or a port range (two numbers separated by a hyphen, e.g. 8887-8888).
> [!primary]
> We advise authorising TCP protocol with an established option (for packets that are part of a previously opened/started session), ICMP packets (for ping and traceroute) and optionally UDP DNS responses from external servers (if you use external DNS servers).
@@ -114,7 +122,7 @@ For each **TCP** rule, you must choose:
> - Priority 19: Refuse IPv4
> [!warning]
-> Firewall setups with only "Accept" mode rules are not effective at all. There must be an instruction as to which traffic should be dropped by the firewall. You will see a warning unless such a "Deny" rule is created.
+> Firewall setups with only `Accept` mode rules are not effective at all. There must be an instruction as to which traffic should be dropped by the firewall. You will see a warning unless such a `Deny` rule is created.
>
**Enable/disable firewall:**
@@ -127,6 +135,26 @@ After confirmation, the firewall will be enabled or disabled.
Note that rules are disabled until the moment an attack is detected - then they are activated. This logic can be used for rules that are only active when a known repeated attack is incoming.
+### Common mistakes and best practices
+
+#### Setting both source and destination ports in the same rule
+
+When creating firewall rules, defining both source and destination ports is usually misconfiguration, as source ports are typically assigned randomly by the client’s operating system (ephemeral ports).
+
+If you lock a rule to a specific source port, it will likely drop legitimate traffic as soon as the client's port changes for the next session. To ensure connectivity, you should only specify the destination port (your service port).
+
+**Best Practice:** Leave the source port empty, unless you are filtering traffic from a specialized system with a static outbound configuration.
+
+#### Large port ranges
+
+Creating rules allowing traffic over very large port ranges may be a security risk, as it significantly expands the attack surface on your server. This can result in several issues:
+
+- You may inadvertently expose background services that were not meant to be public-facing, thus potentially leaking information about your system, and allowing malicious actors to probe your servers for vulnerabilities.
+- Audit and troubleshooting become significantly more difficult, as it is harder to check which applications are actually communicating, masking potential misconfigurations or breaches.
+- Large open UDP ranges are frequently targeted by amplification and reflection attacks, as there is a higher chance of finding public-facing services. Attackers can spoof a targeted IP to send small requests to services in that open range, which then respond with much larger packets. This way, they are effectively using your server to send DDoS attacks, while potentially overwhelming your own bandwidth.
+
+**Best Practice:** Only use limited ranges for sequential ports required by a single application (e.g. 5000-5100).
+
### Configuration example
To make sure that only the standard ports for SSH (22), HTTP (80), HTTPS (443) and UDP (53) are left open when authorising the ICMP, follow the rules below:
diff --git a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-sg.md b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-sg.md
index cae8e09ac47..438ce8d18ca 100644
--- a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-sg.md
+++ b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-sg.md
@@ -1,12 +1,12 @@
---
title: Enabling and configuring the Edge Network Firewall
excerpt: Find out how to configure the Edge Network Firewall for your services
-updated: 2026-01-06
+updated: 2026-03-09
---
## Objective
-To protect customer services exposed on public IP addresses, OVHcloud offers a stateless firewall that is configured and integrated into the **Anti-DDoS infrastructure**: the Edge Network Firewall. It allows to limit service exposure to DDoS attacks, by dropping specified network flows coming from outside of the OVHcloud network.
+To protect customer services exposed on public IP addresses, OVHcloud offers a stateless firewall that is configured and integrated into the **Anti-DDoS infrastructure**: the Edge Network Firewall. It limits exposure to DDoS attacks by dropping specified network flows from outside the OVHcloud network.
**This guide will show you how to configure the Edge Network Firewall for your services.**
@@ -17,7 +17,7 @@ To protect customer services exposed on public IP addresses, OVHcloud offers a s
| Anti-DDoS infrastructure & Game protection services diagram at OVHcloud |
|:--:|
-|  |
+| {.thumbnail} |
## Requirements
@@ -36,7 +36,11 @@ To protect customer services exposed on public IP addresses, OVHcloud offers a s
The Edge Network Firewall reduces exposure to network DDoS attacks by allowing users to copy some of the server's firewall rules to the edge of the OVHcloud network. This blocks incoming attacks as close to their source as possible, reducing the risk of saturating server resources or rack connections in the event of major attacks.
-### Enabling Edge Network Firewall
+### Configure the Edge Network Firewall
+
+The Edge Network Firewall can be enabled or disabled by the user at all times, besides one exception: it is **automatically enabled** when a DDoS attack is detected and **cannot be disabled** until the attack has ended. As a result, all the rules configured in the firewall are applied for the duration of the attack. This logic allows our customers to offload the firewall rules of the server to the edge of the OVHcloud network for the duration of the attack.
+
+#### Access the Edge Network Firewall configuration page
> [!primary]
>
@@ -54,30 +58,32 @@ You can use the drop-down menu underneath **"My public IP addresses and associat
{.thumbnail}
-Next, click the `⁝`{.action} button to the right of the relevant IPv4 and first select `Configure Edge Network Firewall`{.action} (or click on the status badge in the **Edge Firewall** column).
+Next, click the `⁝`{.action} button to the right of the relevant IPv4 and select `Configure Edge Network Firewall`{.action} (or click on the status badge in the **Edge Firewall** column).
{.thumbnail}
You will then be taken to the firewall configuration page.
-You can set up to **20 rules per IP**.
-
-> [!warning]
+> [!primary]
>
-> The Edge Network Firewall is automatically enabled when a DDoS attack is detected and cannot be disabled until the attack has ended. As a result, all the rules configured in the firewall are applied during the duration of the attack. This logic allows our customers to offload the firewall rules of the server to the edge of the OVHcloud network for the duration of the attack.
+> - UDP fragmentation is blocked (DROP) by default. If you are using a VPN, remember to configure your Maximum Transmission Unit (MTU) correctly. For example, with OpenVPN, you can check `MTU test`.
+> - The Edge Network Firewall (ENF) integrated in the scrubbing centres (VAC) only handles network traffic coming from outside the OVHcloud network.
>
+
+> [!warning]
> Please note that you should configure your own local firewalls even if the Edge Network Firewall has been configured, as its main role is to handle traffic from outside of the OVHcloud network.
>
> If you have configured some rules, we recommend that you check them regularly or when changing how your services are working. As previously mentioned, the Edge Network Firewall will be automatically enabled in case of a DDoS attack even when disabled in your IP settings.
>
+### Configure firewall rules
+
+You can set up to **20 rules per IP**.
+
> [!primary]
+> Since March 2026, the Edge Network Firewall supports rules that apply to port ranges, in addition to the usual single-port rules.
>
-> - UDP fragmentation is blocked (DROP) by default. When enabling the Edge Network Firewall, if you are using a VPN, remember to configure your Maximum Transmission Unit (MTU) correctly. For example, with OpenVPN, you can check `MTU test`.
-> - The Edge Network Firewall (ENF) integrated in the scrubbing centres (VAC) only handles network traffic coming from outside the OVHcloud network.
->
-
-### Configure the Edge Network Firewall
+> By using port ranges, you can protect applications that require multiple sequential ports with a single entry. This ensures your configuration stays within the 20-rule limit by eliminating the need for separate rules targeting each individual port.
> [!warning]
> Please note that the OVHcloud Edge Network Firewall cannot be used to open ports on a server. To open ports on a server, you must go through the firewall of the operating system installed on the server.
@@ -85,7 +91,7 @@ You can set up to **20 rules per IP**.
> For more information, please refer to the following guides: [Configuring the firewall on Windows](/pages/bare_metal_cloud/dedicated_servers/activate-port-firewall-soft-win) and [Configuring the firewall on Linux with iptables](/pages/bare_metal_cloud/dedicated_servers/firewall-Linux-iptable).
>
-**To add a rule**, click on the `+ Add a rule`{.action} button, on the top left :
+**To add a rule**, click on the `+ Add a rule`{.action} button, on the top left:
|  |
|:--:|
@@ -93,15 +99,17 @@ You can set up to **20 rules per IP**.
For each rule (excluding TCP), you must choose:
-|  |
-|:--|
-| • A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
• An action (`Accept`{.action} or `Deny`{.action})
• The protocol
• Source IP (optional) |
+| {.thumbnail} |
+|:--|
+| - A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
- An action (`Accept`{.action} or `Deny`{.action})
- The protocol
- Source IP (optional) |
For each **TCP** rule, you must choose:
-|  |
-|:--|
-| • A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
• An action (`Accept`{.action} or `Deny`{.action})
• The protocol
• Source IP (optional)
• The source port (optional)
• The destination port (optional)
• The TCP state (optional)
• Fragments (optional)|
+| {.thumbnail} |
+|:--|
+| - A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
- An action (`Accept`{.action} or `Deny`{.action})
- The protocol
- Source IP (optional)
- The source port or port range (optional)
- The destination port or port range (optional)
- The TCP state (optional)
- Fragments (optional) |
+
+When configuring a TCP or UDP rule with a port or port range, ensure the source and destination port fields contain either a single number between 1 and 65535 (inclusive), or a port range (two numbers separated by a hyphen, e.g. 8887-8888).
> [!primary]
> We advise authorising TCP protocol with an established option (for packets that are part of a previously opened/started session), ICMP packets (for ping and traceroute) and optionally UDP DNS responses from external servers (if you use external DNS servers).
@@ -114,7 +122,7 @@ For each **TCP** rule, you must choose:
> - Priority 19: Refuse IPv4
> [!warning]
-> Firewall setups with only "Accept" mode rules are not effective at all. There must be an instruction as to which traffic should be dropped by the firewall. You will see a warning unless such a "Deny" rule is created.
+> Firewall setups with only `Accept` mode rules are not effective at all. There must be an instruction as to which traffic should be dropped by the firewall. You will see a warning unless such a `Deny` rule is created.
>
**Enable/disable firewall:**
@@ -127,6 +135,26 @@ After confirmation, the firewall will be enabled or disabled.
Note that rules are disabled until the moment an attack is detected - then they are activated. This logic can be used for rules that are only active when a known repeated attack is incoming.
+### Common mistakes and best practices
+
+#### Setting both source and destination ports in the same rule
+
+When creating firewall rules, defining both source and destination ports is usually misconfiguration, as source ports are typically assigned randomly by the client’s operating system (ephemeral ports).
+
+If you lock a rule to a specific source port, it will likely drop legitimate traffic as soon as the client's port changes for the next session. To ensure connectivity, you should only specify the destination port (your service port).
+
+**Best Practice:** Leave the source port empty, unless you are filtering traffic from a specialized system with a static outbound configuration.
+
+#### Large port ranges
+
+Creating rules allowing traffic over very large port ranges may be a security risk, as it significantly expands the attack surface on your server. This can result in several issues:
+
+- You may inadvertently expose background services that were not meant to be public-facing, thus potentially leaking information about your system, and allowing malicious actors to probe your servers for vulnerabilities.
+- Audit and troubleshooting become significantly more difficult, as it is harder to check which applications are actually communicating, masking potential misconfigurations or breaches.
+- Large open UDP ranges are frequently targeted by amplification and reflection attacks, as there is a higher chance of finding public-facing services. Attackers can spoof a targeted IP to send small requests to services in that open range, which then respond with much larger packets. This way, they are effectively using your server to send DDoS attacks, while potentially overwhelming your own bandwidth.
+
+**Best Practice:** Only use limited ranges for sequential ports required by a single application (e.g. 5000-5100).
+
### Configuration example
To make sure that only the standard ports for SSH (22), HTTP (80), HTTPS (443) and UDP (53) are left open when authorising the ICMP, follow the rules below:
diff --git a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-us.md b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-us.md
index cae8e09ac47..438ce8d18ca 100644
--- a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-us.md
+++ b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.en-us.md
@@ -1,12 +1,12 @@
---
title: Enabling and configuring the Edge Network Firewall
excerpt: Find out how to configure the Edge Network Firewall for your services
-updated: 2026-01-06
+updated: 2026-03-09
---
## Objective
-To protect customer services exposed on public IP addresses, OVHcloud offers a stateless firewall that is configured and integrated into the **Anti-DDoS infrastructure**: the Edge Network Firewall. It allows to limit service exposure to DDoS attacks, by dropping specified network flows coming from outside of the OVHcloud network.
+To protect customer services exposed on public IP addresses, OVHcloud offers a stateless firewall that is configured and integrated into the **Anti-DDoS infrastructure**: the Edge Network Firewall. It limits exposure to DDoS attacks by dropping specified network flows from outside the OVHcloud network.
**This guide will show you how to configure the Edge Network Firewall for your services.**
@@ -17,7 +17,7 @@ To protect customer services exposed on public IP addresses, OVHcloud offers a s
| Anti-DDoS infrastructure & Game protection services diagram at OVHcloud |
|:--:|
-|  |
+| {.thumbnail} |
## Requirements
@@ -36,7 +36,11 @@ To protect customer services exposed on public IP addresses, OVHcloud offers a s
The Edge Network Firewall reduces exposure to network DDoS attacks by allowing users to copy some of the server's firewall rules to the edge of the OVHcloud network. This blocks incoming attacks as close to their source as possible, reducing the risk of saturating server resources or rack connections in the event of major attacks.
-### Enabling Edge Network Firewall
+### Configure the Edge Network Firewall
+
+The Edge Network Firewall can be enabled or disabled by the user at all times, besides one exception: it is **automatically enabled** when a DDoS attack is detected and **cannot be disabled** until the attack has ended. As a result, all the rules configured in the firewall are applied for the duration of the attack. This logic allows our customers to offload the firewall rules of the server to the edge of the OVHcloud network for the duration of the attack.
+
+#### Access the Edge Network Firewall configuration page
> [!primary]
>
@@ -54,30 +58,32 @@ You can use the drop-down menu underneath **"My public IP addresses and associat
{.thumbnail}
-Next, click the `⁝`{.action} button to the right of the relevant IPv4 and first select `Configure Edge Network Firewall`{.action} (or click on the status badge in the **Edge Firewall** column).
+Next, click the `⁝`{.action} button to the right of the relevant IPv4 and select `Configure Edge Network Firewall`{.action} (or click on the status badge in the **Edge Firewall** column).
{.thumbnail}
You will then be taken to the firewall configuration page.
-You can set up to **20 rules per IP**.
-
-> [!warning]
+> [!primary]
>
-> The Edge Network Firewall is automatically enabled when a DDoS attack is detected and cannot be disabled until the attack has ended. As a result, all the rules configured in the firewall are applied during the duration of the attack. This logic allows our customers to offload the firewall rules of the server to the edge of the OVHcloud network for the duration of the attack.
+> - UDP fragmentation is blocked (DROP) by default. If you are using a VPN, remember to configure your Maximum Transmission Unit (MTU) correctly. For example, with OpenVPN, you can check `MTU test`.
+> - The Edge Network Firewall (ENF) integrated in the scrubbing centres (VAC) only handles network traffic coming from outside the OVHcloud network.
>
+
+> [!warning]
> Please note that you should configure your own local firewalls even if the Edge Network Firewall has been configured, as its main role is to handle traffic from outside of the OVHcloud network.
>
> If you have configured some rules, we recommend that you check them regularly or when changing how your services are working. As previously mentioned, the Edge Network Firewall will be automatically enabled in case of a DDoS attack even when disabled in your IP settings.
>
+### Configure firewall rules
+
+You can set up to **20 rules per IP**.
+
> [!primary]
+> Since March 2026, the Edge Network Firewall supports rules that apply to port ranges, in addition to the usual single-port rules.
>
-> - UDP fragmentation is blocked (DROP) by default. When enabling the Edge Network Firewall, if you are using a VPN, remember to configure your Maximum Transmission Unit (MTU) correctly. For example, with OpenVPN, you can check `MTU test`.
-> - The Edge Network Firewall (ENF) integrated in the scrubbing centres (VAC) only handles network traffic coming from outside the OVHcloud network.
->
-
-### Configure the Edge Network Firewall
+> By using port ranges, you can protect applications that require multiple sequential ports with a single entry. This ensures your configuration stays within the 20-rule limit by eliminating the need for separate rules targeting each individual port.
> [!warning]
> Please note that the OVHcloud Edge Network Firewall cannot be used to open ports on a server. To open ports on a server, you must go through the firewall of the operating system installed on the server.
@@ -85,7 +91,7 @@ You can set up to **20 rules per IP**.
> For more information, please refer to the following guides: [Configuring the firewall on Windows](/pages/bare_metal_cloud/dedicated_servers/activate-port-firewall-soft-win) and [Configuring the firewall on Linux with iptables](/pages/bare_metal_cloud/dedicated_servers/firewall-Linux-iptable).
>
-**To add a rule**, click on the `+ Add a rule`{.action} button, on the top left :
+**To add a rule**, click on the `+ Add a rule`{.action} button, on the top left:
|  |
|:--:|
@@ -93,15 +99,17 @@ You can set up to **20 rules per IP**.
For each rule (excluding TCP), you must choose:
-|  |
-|:--|
-| • A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
• An action (`Accept`{.action} or `Deny`{.action})
• The protocol
• Source IP (optional) |
+| {.thumbnail} |
+|:--|
+| - A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
- An action (`Accept`{.action} or `Deny`{.action})
- The protocol
- Source IP (optional) |
For each **TCP** rule, you must choose:
-|  |
-|:--|
-| • A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
• An action (`Accept`{.action} or `Deny`{.action})
• The protocol
• Source IP (optional)
• The source port (optional)
• The destination port (optional)
• The TCP state (optional)
• Fragments (optional)|
+| {.thumbnail} |
+|:--|
+| - A priority (from 0 to 19, 0 being the first rule to be applied, followed by the others)
- An action (`Accept`{.action} or `Deny`{.action})
- The protocol
- Source IP (optional)
- The source port or port range (optional)
- The destination port or port range (optional)
- The TCP state (optional)
- Fragments (optional) |
+
+When configuring a TCP or UDP rule with a port or port range, ensure the source and destination port fields contain either a single number between 1 and 65535 (inclusive), or a port range (two numbers separated by a hyphen, e.g. 8887-8888).
> [!primary]
> We advise authorising TCP protocol with an established option (for packets that are part of a previously opened/started session), ICMP packets (for ping and traceroute) and optionally UDP DNS responses from external servers (if you use external DNS servers).
@@ -114,7 +122,7 @@ For each **TCP** rule, you must choose:
> - Priority 19: Refuse IPv4
> [!warning]
-> Firewall setups with only "Accept" mode rules are not effective at all. There must be an instruction as to which traffic should be dropped by the firewall. You will see a warning unless such a "Deny" rule is created.
+> Firewall setups with only `Accept` mode rules are not effective at all. There must be an instruction as to which traffic should be dropped by the firewall. You will see a warning unless such a `Deny` rule is created.
>
**Enable/disable firewall:**
@@ -127,6 +135,26 @@ After confirmation, the firewall will be enabled or disabled.
Note that rules are disabled until the moment an attack is detected - then they are activated. This logic can be used for rules that are only active when a known repeated attack is incoming.
+### Common mistakes and best practices
+
+#### Setting both source and destination ports in the same rule
+
+When creating firewall rules, defining both source and destination ports is usually misconfiguration, as source ports are typically assigned randomly by the client’s operating system (ephemeral ports).
+
+If you lock a rule to a specific source port, it will likely drop legitimate traffic as soon as the client's port changes for the next session. To ensure connectivity, you should only specify the destination port (your service port).
+
+**Best Practice:** Leave the source port empty, unless you are filtering traffic from a specialized system with a static outbound configuration.
+
+#### Large port ranges
+
+Creating rules allowing traffic over very large port ranges may be a security risk, as it significantly expands the attack surface on your server. This can result in several issues:
+
+- You may inadvertently expose background services that were not meant to be public-facing, thus potentially leaking information about your system, and allowing malicious actors to probe your servers for vulnerabilities.
+- Audit and troubleshooting become significantly more difficult, as it is harder to check which applications are actually communicating, masking potential misconfigurations or breaches.
+- Large open UDP ranges are frequently targeted by amplification and reflection attacks, as there is a higher chance of finding public-facing services. Attackers can spoof a targeted IP to send small requests to services in that open range, which then respond with much larger packets. This way, they are effectively using your server to send DDoS attacks, while potentially overwhelming your own bandwidth.
+
+**Best Practice:** Only use limited ranges for sequential ports required by a single application (e.g. 5000-5100).
+
### Configuration example
To make sure that only the standard ports for SSH (22), HTTP (80), HTTPS (443) and UDP (53) are left open when authorising the ICMP, follow the rules below:
diff --git a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.es-es.md b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.es-es.md
index 937639ffe98..28030e4eb47 100644
--- a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.es-es.md
+++ b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.es-es.md
@@ -1,27 +1,27 @@
---
-title: 'Activación y configuración del Edge Network Firewall'
+title: 'Activar y configurar el Edge Network Firewall'
excerpt: 'Descubra cómo configurar el Edge Network Firewall para sus servicios'
-updated: 2026-01-06
+updated: 2026-03-09
---
## Objetivo
-Para proteger los servicios dde sus clientes expuestos en direcciones IP públicas, OVHcloud ofrece un firewall sin estado configurado e integrado en la **infraestructura anti-DDoS**: el Edge Network Firewall. Permite limitar la exposición de los servicios a los ataques DDoS, eliminando determinados flujos de red procedentes de fuera de la red de OVHcloud.
+Para proteger los servicios de los clientes expuestos en direcciones IP públicas, OVHcloud ofrece un firewall sin estado (*stateless*) que se configura e integra en la **Infraestructura anti-DDoS**: el Edge Network Firewall. Permite limitar la exposición de los servicios a los ataques DDoS, eliminando flujos de red específicos que puedan provenir del exterior de la red de OVHcloud.
-**Esta guía le mostrará cómo configurar el Edge Network Firewall para sus servicios.**
+**Esta guía explica cómo configurar el Edge Network Firewall para sus servicios.**
> [!primary]
>
-> Puede encontrar más información sobre nuestra solución anti-DDoS en [nuestro sitio web](/links/security/antiddos).
->
+> Para más información sobre nuestra solución anti-DDoS, [haga clic aquí](/links/security/antiddos).
+>
-| Infraestructura anti-DDoS y protección DDoS Game en OVHcloud |
+| Infraestructura anti-DDoS y DDoS Protection en OVHcloud |
|:--:|
-|  |
+| {.thumbnail} |
## Requisitos
-- Un servicio de OVHcloud expuesto en una dirección IP pública dedicada ([Servidor Dedicado](/links/bare-metal/bare-metal), [VPS](/links/bare-metal/vps), [instancias de Public Cloud](/links/public-cloud/public-cloud), [Hosted Private Cloud](/links/hosted-private-cloud/vmware), [Additional IP](/links/network/additional-ip), etc.).
+- Un servicio de OVHcloud expuesto y que utilice una dirección IP pública dedicada ([Servidor Dedicado](/links/bare-metal/bare-metal), [VPS](/links/bare-metal/vps), [instancia de Public Cloud](/links/public-cloud/public-cloud), [Hosted Private Cloud](/links/hosted-private-cloud/vmware), [Additional IP](/links/network/additional-ip), etc.)
- Tener acceso al [área de cliente de OVHcloud](/links/manager).
> [!warning]
@@ -30,144 +30,172 @@ Para proteger los servicios dde sus clientes expuestos en direcciones IP públic
> Para más información, consulte nuestra [comparativa](/links/bare-metal/eco-compare).
> [!warning]
-> Edge Firewall Network no admite el protocolo QUIC.
+> El Edge Network Firewall no es compatible con el protocolo QUIC.
## Procedimiento
-El Edge Network Firewall reduce la exposición a los ataques DDoS de red, ya que permite a los usuarios copiar algunas de las reglas del firewall del servidor en el perímetro de la red de OVHcloud. Esto bloquea los ataques entrantes lo más cerca posible de su origen, reduciendo el riesgo de saturación de los recursos del servidor o de las conexiones al rack en caso de ataques importantes.
+El Edge Network Firewall reduce la exposición a los ataques DDoS de red, permitiendo a los usuarios replicar determinadas reglas de firewall del servidor en el perímetro de la red de OVHcloud. De este modo, se bloquean los ataques entrantes lo más cerca posible de su origen, reduciendo así el riesgo de sobrecarga de los recursos del servidor en caso de un ataque importante.
+
+### Configurar el Edge Network Firewall
+
+El Edge Network Firewall puede ser activado o desactivado por el usuario en cualquier momento, con una excepción: se **activa automáticamente** cuando se detecta un ataque DDoS y **no puede desactivarse** hasta que el ataque haya finalizado. Por consiguiente, todas las reglas configuradas en el firewall se aplican durante la duración del ataque. Esta lógica permite a nuestros clientes trasladar las reglas de firewall del servidor al perímetro de la red de OVHcloud mientras dure el ataque.
-### Activar el Edge Network Firewall
+#### Acceder a la página de configuración del Edge Network Firewall
> [!primary]
>
-> Hasta la fecha, esta función sólo está disponible para direcciones IPv4.
+> Actualmente, esta funcionalidad solo está disponible para direcciones IPv4.
> [!primary]
>
> El Edge Network Firewall protege una IP específica asociada a un servidor (o servicio). Por lo tanto, si tiene un servidor con varias direcciones IP, debe configurar cada IP por separado.
->
+>
-Conéctese a su [área de cliente de OVHcloud](/links/manager), haga clic en `Network`{.action} en la columna izquierda y seleccione `Direcciones IP públicas`{.action}.
+Conéctese a su [área de cliente de OVHcloud](/links/manager), haga clic en `Network`{.action} en la barra lateral izquierda y seleccione `Direcciones IP públicas`{.action}.
Puede utilizar el menú desplegable situado debajo de **Mis direcciones IP públicas y servicios asociados** para filtrar sus servicios por categoría, o escribir directamente la dirección IP deseada en la barra de búsqueda.
{.thumbnail}
-A continuación, haga clic en el botón `⁝`{.action} situado a la derecha de la IPv4 correspondiente y seleccione `Configurar el Edge Network Firewall`{.action} (o haga clic en el icono de estado de la columna **Edge Firewall**).
-
-{.thumbnail}
+A continuación, haga clic en el botón `⁝`{.action} situado a la derecha de la IPv4 correspondiente y seleccione `Configurar el Edge Network Firewall`{.action} (o haga clic en el icono de estado en la columna **Edge Firewall**).
-Se le redirigirá a la página de configuración del firewall.
+{.thumbnail}
-Puede configurar hasta **20 reglas por IP**.
+Accederá a la página de configuración del firewall.
-> [!warning]
+> [!primary]
>
-> El Edge Network Firewall se activa automáticamente cuando se detecta un ataque DDoS y no puede desactivarse hasta que finalice el ataque. Como resultado, todas las reglas configuradas en el firewall se aplican durante la duración del ataque. Esta lógica permite a nuestros clientes descargar las reglas del firewall del servidor al borde de la red de OVHcloud mientras dure el ataque.
+> - La fragmentación UDP está bloqueada (*DROP*) por defecto. Al activar el Edge Network Firewall, si utiliza una VPN, recuerde configurar correctamente la unidad de transmisión máxima (MTU). Por ejemplo, con OpenVPN, puede comprobarlo mediante `MTU test`.
+> - El Edge Network Firewall (ENF), integrado en los Scrubbing Centers (VAC), gestiona únicamente el tráfico de red procedente del exterior de la red de OVHcloud.
>
-> Tenga en cuenta que debe configurar sus propios firewalls locales aunque se haya configurado el Edge Network Firewall, ya que su función principal es gestionar el tráfico procedente de fuera de la red de OVHcloud.
+
+> [!warning]
+> Tenga en cuenta que debe configurar sus propios firewalls locales aunque el Edge Network Firewall esté configurado, ya que su función principal es gestionar el tráfico procedente de fuera de la red de OVHcloud.
>
-> Si ha configurado algunas reglas, le recomendamos que las compruebe con regularidad o cuando cambie el funcionamiento de sus servicios. Como se mencionó anteriormente, el Edge Network Firewall se activará automáticamente en caso de ataque DDoS, incluso cuando esté desactivado en la configuración IP.
+> Si ha configurado reglas, le recomendamos que las compruebe con regularidad o cuando cambie el funcionamiento de sus servicios. Como se ha mencionado anteriormente, el Edge Network Firewall se activará automáticamente en caso de ataque DDoS, incluso si está desactivado en la configuración IP.
>
+### Configurar reglas de firewall
+
+Puede configurar hasta **20 reglas por dirección IP**.
+
> [!primary]
+> Desde marzo de 2026, el Edge Network Firewall admite reglas que se aplican a rangos de puertos, además de las reglas habituales de puerto único.
>
-> - La fragmentación UDP está bloqueada (DROP) por defecto. Cuando habilite el Edge Network Firewall, si está usando una VPN, recuerde configurar correctamente la unidad de transmisión máxima (MTU). Por ejemplo, con OpenVPN, puede comprobar `MTU test`.
-> - El Edge Network Firewall (ENF) integrado en los centros de limpieza (*scrubbing centres* o VAC) solo gestiona el tráfico de red procedente de fuera de la red de OVHcloud.
->
-
-### Configurar el Edge Network Firewall
+> El uso de rangos de puertos le permite proteger con una sola regla las aplicaciones que necesitan varios puertos en secuencia. Esto garantiza que su configuración respete el límite de 20 reglas, sin tener que crear una regla distinta para cada puerto utilizado.
> [!warning]
-> Tenga en cuenta que el Edge Network Firewall de OVHcloud no puede utilizarse para abrir puertos en un servidor. Para abrir puertos en un servidor, debe pasar por el cortafuegos del sistema operativo instalado en el servidor.
+> Tenga en cuenta que el Edge Network Firewall de OVHcloud no puede utilizarse para abrir puertos en un servidor. Para abrir puertos en un servidor, debe utilizar el firewall del sistema operativo instalado en el servidor.
>
> Para más información, consulte las siguientes guías: [Configuración del firewall en Windows](/pages/bare_metal_cloud/dedicated_servers/activate-port-firewall-soft-win) y [Configuración del firewall en Linux con iptables](/pages/bare_metal_cloud/dedicated_servers/firewall-Linux-iptable).
>
-**Para añadir una regla**, haga clic en el botón `+ Añadir una regla`{.action}, situado en la parte superior izquierda de la página.
+**Para añadir una regla**, haga clic en el botón `+ Añadir una regla`{.action}, en la parte superior izquierda de la página.
|  |
|:--:|
| Haga clic en `+ Añadir una regla`{.action}. |
-Para cada regla (excluyendo TCP), debe elegir:
+Para cada regla (excepto TCP), debe elegir:
-|  |
+| {.thumbnail} |
|:--|
-| • Una prioridad (de 0 a 19, siendo 0 la primera regla que se aplica, seguida de las demás)
• Una acción (`Aceptar`{.action} o `Denegar`{.action})
• El protocolo
• IP de origen (opcional) |
+| - Una prioridad (de 0 a 19, siendo 0 la primera regla que se aplica, seguida de las demás)
- Una acción (`Aceptar`{.action} o `Denegar`{.action})
- El protocolo
- La dirección IP de origen (opcional) |
Para cada regla **TCP**, debe elegir:
-|  |
+| {.thumbnail} |
|:--|
-| • Una prioridad (de 0 a 19, siendo 0 la primera regla que se aplica, seguida de las demás)
• Una acción (`Aceptar`{.action} o `Denegar`{.action})
• El protocolo
• IP de origen (opcional)
• El puerto de origen (opcional)
• El puerto de destino (opcional)
• El estado TCP (opcional)
• Fragmentos (opcional)|
+| - Una prioridad (de 0 a 19, siendo 0 la primera regla que se aplica, seguida de las demás)
- Una acción (`Aceptar`{.action} o `Denegar`{.action})
- El protocolo
- La dirección IP de origen (opcional)
- Puerto o rango de puertos de origen (opcional)
- Puerto o rango de puertos de destino (opcional)
- El estado TCP (opcional)
- Fragmentos (opcional) |
+
+Cuando configure una regla TCP o UDP con un puerto o un rango de puertos, compruebe que los campos `puerto de origen` y `puerto de destino` contengan un número único comprendido entre 1 y 65535 (incluidos) o un rango de puertos (dos números separados por un guion, por ejemplo: 8887-8888).
> [!primary]
-> Le recomendamos que autorice el protocolo TCP con una opción `established` (para los paquetes que forman parte de una sesión previamente abierta/iniciada), los paquetes ICMP (para ping y traceroute) y, opcionalmente, las respuestas DNS UDP de los servidores externos (si utiliza servidores DNS externos).
+> Le recomendamos que autorice el protocolo TCP con la opción `established` (para los paquetes que forman parte de una sesión previamente abierta/iniciada), los paquetes ICMP (para ping y traceroute) y, opcionalmente, las respuestas DNS UDP de los servidores externos (si utiliza servidores DNS externos).
>
> **Ejemplo de configuración:**
>
> - Prioridad 0: Autorizar TCP `established`
> - Prioridad 1: Autorizar UDP, puerto de origen 53
> - Prioridad 2: Autorizar ICMP
-> - Prioridad 19: Denegar la IPv4
+> - Prioridad 19: Denegar IPv4
> [!warning]
-> Las configuraciones de firewall con reglas de modo "Aceptar" únicamente no son efectivas en absoluto. Debe haber una instrucción acerca del tráfico que debe interrumpir el firewall. Verá una advertencia a menos que se cree la regla "Denegar".
+> Las configuraciones de firewall con únicamente reglas en modo "Aceptar" no son efectivas en absoluto. Debe existir una instrucción que indique qué tráfico debe ser bloqueado por el firewall. Recibirá un aviso a menos que se cree una regla "Denegar".
>
**Activar/desactivar el firewall:**
|  |
|:--:|
-| Utilice el botón de encendido/apagado para activar o desactivar el firewall. |
+| Utilice el botón de conmutación para activar o desactivar el firewall. |
+
+Tras la validación, el firewall se activará o desactivará.
+
+Tenga en cuenta que las reglas permanecen desactivadas hasta que se detecta un ataque, momento en el que se activan. Esta lógica puede utilizarse para reglas que solo están activas cuando se produce un ataque repetido conocido.
+
+### Errores frecuentes y buenas prácticas
+
+#### Definir simultáneamente los puertos de origen y destino en una misma regla
+
+Al crear reglas de firewall, definir a la vez el puerto de origen y el puerto de destino es generalmente un error de configuración. En efecto, los puertos de origen suelen ser asignados de forma aleatoria por el sistema operativo del cliente (puertos efímeros).
+
+Si establece una regla con un puerto de origen específico, es probable que el tráfico legítimo se bloquee en cuanto el puerto del cliente cambie en la sesión siguiente. Para garantizar la continuidad de la conexión, debe especificar únicamente el puerto de destino (el puerto de su servicio).
+
+**Buena práctica:** Deje el puerto de origen vacío, salvo que esté filtrando tráfico procedente de un sistema especializado con una configuración de salida estática.
+
+#### Rangos de puertos demasiado amplios
+
+Crear reglas que autoricen el tráfico en rangos de puertos muy amplios puede suponer un riesgo de seguridad, ya que aumenta considerablemente la superficie de ataque de su servidor. Esto puede provocar varios problemas:
-Tras la validación, el cortafuegos se activará o desactivará.
+- Podría exponer inadvertidamente servicios en segundo plano que no están destinados a ser públicos, con el consiguiente riesgo de filtraciones de información sobre su sistema que permitan a actores maliciosos sondear su servidor en busca de vulnerabilidades.
+- La auditoría y la resolución de problemas se vuelven mucho más complejas, ya que resulta más difícil verificar qué aplicaciones se están comunicando realmente, lo que puede ocultar errores de configuración o intrusiones.
+- Los rangos UDP amplios abiertos son frecuentemente objeto de ataques de amplificación y reflexión, porque la probabilidad de encontrar servicios expuestos es mayor. Los atacantes pueden suplantar una dirección IP objetivo para enviar pequeñas peticiones a los servicios de ese rango, los cuales responden con paquetes mucho más voluminosos. De este modo, utilizan su servidor para lanzar ataques DDoS al tiempo que saturan potencialmente su propio ancho de banda.
-Tenga en cuenta que las reglas se desactivan hasta que se detecta un ataque y, a continuación, se activan. Esta lógica se puede utilizar para reglas que sólo están activas cuando entra un ataque repetido conocido.
+**Buena práctica:** Utilice únicamente rangos restringidos para los puertos secuenciales requeridos por una aplicación específica (p. ej.: 5000-5100).
### Ejemplo de configuración
-Para asegurarse de que sólo se dejan abiertos los puertos estándar para SSH (22), HTTP (80), HTTPS (443) y UDP (53) al autorizar ICMP, siga las reglas siguientes:
+Para asegurarse de que solo los puertos SSH (22), HTTP (80), HTTPS (443) y UDP (53) permanecen abiertos al autorizar ICMP, siga las reglas que se indican a continuación:
{.thumbnail}
-Las reglas se ordenan de 0 (la primera regla leída) a 19 (la última). La cadena de reglas se detiene en cuanto se aplica una regla al paquete.
+Las reglas se ordenan de 0 (la primera regla leída) a 19 (la última). La cadena deja de analizarse en cuanto se aplica una regla al paquete.
-Por ejemplo, la regla 2 interceptará un paquete para el puerto TCP 80 y no se aplicarán las reglas siguientes. Un paquete para el puerto TCP 25 sólo será capturado por la última regla (19), que lo bloqueará porque el firewall no permite la comunicación en el puerto 25 en las reglas anteriores.
+Por ejemplo, un paquete para el puerto TCP 80 será interceptado por la regla 2 y las reglas siguientes no se aplicarán. Un paquete para el puerto TCP 25 solo será capturado por la última regla (19), que lo bloqueará porque el firewall no autoriza la comunicación en el puerto 25 en las reglas anteriores.
> [!warning]
-> La configuración anterior es solo un ejemplo y solo debe utilizarse como referencia si las reglas no se aplican a los servicios alojados en su servidor. Es esencial que configure las reglas de su firewall para que coincidan con los servicios alojados en su servidor. Una configuración incorrecta de las reglas del firewall puede provocar el bloqueo del tráfico legítimo y la imposibilidad de acceder a los servicios del servidor.
+> La configuración anterior es solo un ejemplo y debe utilizarse como referencia únicamente si las reglas no se aplican a los servicios alojados en su servidor. Es imprescindible configurar las reglas de su firewall para que correspondan con los servicios alojados en su servidor. Una configuración incorrecta de las reglas de firewall puede provocar el bloqueo del tráfico legítimo y la imposibilidad de acceder a los servicios del servidor.
>
-### Mitigación de ataques: actividad del centro de limpieza
+### Mitigación de ataques - Actividad del centro de limpieza (Scrubbing Center)
-Nuestra infraestructura anti-DDoS (VAC) funciona automáticamente. El proceso de mitigación se realiza a través del centro de limpieza automatizado. Aquí es donde nuestra tecnología avanzada analiza en profundidad los paquetes e intenta eliminar el tráfico DDoS, permitiendo al mismo tiempo el paso del tráfico legítimo.
+Nuestra Infraestructura anti-DDoS (VAC) funciona automáticamente. El proceso de mitigación se realiza a través de un centro de limpieza (**Scrubbing Center**) automatizado. Es aquí donde nuestra tecnología avanzada analiza en profundidad los paquetes e intenta eliminar el tráfico DDoS, permitiendo al mismo tiempo el paso del tráfico legítimo.
-Todas las IP de OVHcloud están sujetas a mitigación automática. En caso de que se detecte tráfico malicioso, se activa el centro de limpieza. Este estado se indica mediante el estado "Forzado" para una dirección IP determinada. En este momento, el firewall de red perimetral también está activo. La situación vuelve a la normalidad cuando se mitiga el ataque y no se observa ninguna actividad sospechosa.
+Todas las direcciones IP de OVHcloud están sujetas a mitigación automática. Si se detecta tráfico malicioso, se activa el **Scrubbing Center**. Este estado se indica mediante un estado "Forzado" para una dirección IP determinada. El Edge Network Firewall también está activo. La situación vuelve a la normalidad cuando el ataque es mitigado y no se observa más actividad sospechosa.
> [!success]
> **Sugerencias**
>
-> Puede crear reglas de firewall que sólo se apliquen después de que se haya detectado un ataque. Para ello, deben crearse reglas de Edge Network Firewall, pero deben deshabilitarse.
+> Puede crear reglas de firewall dedicadas a los ataques y que solo se apliquen tras la detección de un ataque. Para ello, deben crearse reglas de Edge Network Firewall, pero desactivadas.
>
> [!warning]
-> Si nuestra infraestructura anti-DDoS mitiga un ataque, las reglas del Edge Network Firewall se aplicarán eventualmente, incluso si ha desactivado el firewall. Si ha desactivado el firewall, recuerde eliminar también las reglas.
+> Si nuestra Infraestructura anti-DDoS mitiga un ataque, las reglas de su Edge Network Firewall terminarán por aplicarse, incluso si ha desactivado el firewall. Si ha desactivado su firewall, recuerde eliminar también sus reglas.
>
-> Tenga en cuenta que nuestra infraestructura anti-DDoS no puede desactivarse en un servicio. Todos los productos de OVHcloud se entregan dentro del ámbito de protección y esto no se puede cambiar.
+> Tenga en cuenta que la Infraestructura anti-DDoS no puede desactivarse en un servicio. Todos los productos de OVHcloud se entregan con este dispositivo y esto no puede modificarse.
>
## Network Security Dashboard
-Para obtener información detallada sobre los ataques detectados y los resultados de las actividades del centro de limpieza, le recomendamos que explore nuestro [Network Security Dashboard](/pages/bare_metal_cloud/dedicated_servers/network_security_dashboard).
+Para obtener información detallada sobre los ataques detectados y los resultados de las actividades del Scrubbing Center, le recomendamos que consulte nuestra guía sobre el [Network Security Dashboard](/pages/bare_metal_cloud/dedicated_servers/network_security_dashboard).
## Conclusión
-Después de leer este tutorial, debería ser capaz de configurar el Edge Network Firewall para mejorar la seguridad de sus servicios de OVHcloud.
+Después de leer este tutorial, debería poder configurar el Edge Network Firewall para mejorar la seguridad de sus servicios de OVHcloud.
## Más información
-- [Protección de un servidor de juegos con el firewall de aplicaciones](/pages/bare_metal_cloud/dedicated_servers/firewall_game_ddos)
+- [Proteger un servidor GAME con el firewall de aplicación](/pages/bare_metal_cloud/dedicated_servers/firewall_game_ddos)
-Interactúe con nuestra [comunidad de usuarios](/links/community).
\ No newline at end of file
+Interactúe con nuestra [comunidad de usuarios](/links/community).
diff --git a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.es-us.md b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.es-us.md
index 937639ffe98..28030e4eb47 100644
--- a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.es-us.md
+++ b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.es-us.md
@@ -1,27 +1,27 @@
---
-title: 'Activación y configuración del Edge Network Firewall'
+title: 'Activar y configurar el Edge Network Firewall'
excerpt: 'Descubra cómo configurar el Edge Network Firewall para sus servicios'
-updated: 2026-01-06
+updated: 2026-03-09
---
## Objetivo
-Para proteger los servicios dde sus clientes expuestos en direcciones IP públicas, OVHcloud ofrece un firewall sin estado configurado e integrado en la **infraestructura anti-DDoS**: el Edge Network Firewall. Permite limitar la exposición de los servicios a los ataques DDoS, eliminando determinados flujos de red procedentes de fuera de la red de OVHcloud.
+Para proteger los servicios de los clientes expuestos en direcciones IP públicas, OVHcloud ofrece un firewall sin estado (*stateless*) que se configura e integra en la **Infraestructura anti-DDoS**: el Edge Network Firewall. Permite limitar la exposición de los servicios a los ataques DDoS, eliminando flujos de red específicos que puedan provenir del exterior de la red de OVHcloud.
-**Esta guía le mostrará cómo configurar el Edge Network Firewall para sus servicios.**
+**Esta guía explica cómo configurar el Edge Network Firewall para sus servicios.**
> [!primary]
>
-> Puede encontrar más información sobre nuestra solución anti-DDoS en [nuestro sitio web](/links/security/antiddos).
->
+> Para más información sobre nuestra solución anti-DDoS, [haga clic aquí](/links/security/antiddos).
+>
-| Infraestructura anti-DDoS y protección DDoS Game en OVHcloud |
+| Infraestructura anti-DDoS y DDoS Protection en OVHcloud |
|:--:|
-|  |
+| {.thumbnail} |
## Requisitos
-- Un servicio de OVHcloud expuesto en una dirección IP pública dedicada ([Servidor Dedicado](/links/bare-metal/bare-metal), [VPS](/links/bare-metal/vps), [instancias de Public Cloud](/links/public-cloud/public-cloud), [Hosted Private Cloud](/links/hosted-private-cloud/vmware), [Additional IP](/links/network/additional-ip), etc.).
+- Un servicio de OVHcloud expuesto y que utilice una dirección IP pública dedicada ([Servidor Dedicado](/links/bare-metal/bare-metal), [VPS](/links/bare-metal/vps), [instancia de Public Cloud](/links/public-cloud/public-cloud), [Hosted Private Cloud](/links/hosted-private-cloud/vmware), [Additional IP](/links/network/additional-ip), etc.)
- Tener acceso al [área de cliente de OVHcloud](/links/manager).
> [!warning]
@@ -30,144 +30,172 @@ Para proteger los servicios dde sus clientes expuestos en direcciones IP públic
> Para más información, consulte nuestra [comparativa](/links/bare-metal/eco-compare).
> [!warning]
-> Edge Firewall Network no admite el protocolo QUIC.
+> El Edge Network Firewall no es compatible con el protocolo QUIC.
## Procedimiento
-El Edge Network Firewall reduce la exposición a los ataques DDoS de red, ya que permite a los usuarios copiar algunas de las reglas del firewall del servidor en el perímetro de la red de OVHcloud. Esto bloquea los ataques entrantes lo más cerca posible de su origen, reduciendo el riesgo de saturación de los recursos del servidor o de las conexiones al rack en caso de ataques importantes.
+El Edge Network Firewall reduce la exposición a los ataques DDoS de red, permitiendo a los usuarios replicar determinadas reglas de firewall del servidor en el perímetro de la red de OVHcloud. De este modo, se bloquean los ataques entrantes lo más cerca posible de su origen, reduciendo así el riesgo de sobrecarga de los recursos del servidor en caso de un ataque importante.
+
+### Configurar el Edge Network Firewall
+
+El Edge Network Firewall puede ser activado o desactivado por el usuario en cualquier momento, con una excepción: se **activa automáticamente** cuando se detecta un ataque DDoS y **no puede desactivarse** hasta que el ataque haya finalizado. Por consiguiente, todas las reglas configuradas en el firewall se aplican durante la duración del ataque. Esta lógica permite a nuestros clientes trasladar las reglas de firewall del servidor al perímetro de la red de OVHcloud mientras dure el ataque.
-### Activar el Edge Network Firewall
+#### Acceder a la página de configuración del Edge Network Firewall
> [!primary]
>
-> Hasta la fecha, esta función sólo está disponible para direcciones IPv4.
+> Actualmente, esta funcionalidad solo está disponible para direcciones IPv4.
> [!primary]
>
> El Edge Network Firewall protege una IP específica asociada a un servidor (o servicio). Por lo tanto, si tiene un servidor con varias direcciones IP, debe configurar cada IP por separado.
->
+>
-Conéctese a su [área de cliente de OVHcloud](/links/manager), haga clic en `Network`{.action} en la columna izquierda y seleccione `Direcciones IP públicas`{.action}.
+Conéctese a su [área de cliente de OVHcloud](/links/manager), haga clic en `Network`{.action} en la barra lateral izquierda y seleccione `Direcciones IP públicas`{.action}.
Puede utilizar el menú desplegable situado debajo de **Mis direcciones IP públicas y servicios asociados** para filtrar sus servicios por categoría, o escribir directamente la dirección IP deseada en la barra de búsqueda.
{.thumbnail}
-A continuación, haga clic en el botón `⁝`{.action} situado a la derecha de la IPv4 correspondiente y seleccione `Configurar el Edge Network Firewall`{.action} (o haga clic en el icono de estado de la columna **Edge Firewall**).
-
-{.thumbnail}
+A continuación, haga clic en el botón `⁝`{.action} situado a la derecha de la IPv4 correspondiente y seleccione `Configurar el Edge Network Firewall`{.action} (o haga clic en el icono de estado en la columna **Edge Firewall**).
-Se le redirigirá a la página de configuración del firewall.
+{.thumbnail}
-Puede configurar hasta **20 reglas por IP**.
+Accederá a la página de configuración del firewall.
-> [!warning]
+> [!primary]
>
-> El Edge Network Firewall se activa automáticamente cuando se detecta un ataque DDoS y no puede desactivarse hasta que finalice el ataque. Como resultado, todas las reglas configuradas en el firewall se aplican durante la duración del ataque. Esta lógica permite a nuestros clientes descargar las reglas del firewall del servidor al borde de la red de OVHcloud mientras dure el ataque.
+> - La fragmentación UDP está bloqueada (*DROP*) por defecto. Al activar el Edge Network Firewall, si utiliza una VPN, recuerde configurar correctamente la unidad de transmisión máxima (MTU). Por ejemplo, con OpenVPN, puede comprobarlo mediante `MTU test`.
+> - El Edge Network Firewall (ENF), integrado en los Scrubbing Centers (VAC), gestiona únicamente el tráfico de red procedente del exterior de la red de OVHcloud.
>
-> Tenga en cuenta que debe configurar sus propios firewalls locales aunque se haya configurado el Edge Network Firewall, ya que su función principal es gestionar el tráfico procedente de fuera de la red de OVHcloud.
+
+> [!warning]
+> Tenga en cuenta que debe configurar sus propios firewalls locales aunque el Edge Network Firewall esté configurado, ya que su función principal es gestionar el tráfico procedente de fuera de la red de OVHcloud.
>
-> Si ha configurado algunas reglas, le recomendamos que las compruebe con regularidad o cuando cambie el funcionamiento de sus servicios. Como se mencionó anteriormente, el Edge Network Firewall se activará automáticamente en caso de ataque DDoS, incluso cuando esté desactivado en la configuración IP.
+> Si ha configurado reglas, le recomendamos que las compruebe con regularidad o cuando cambie el funcionamiento de sus servicios. Como se ha mencionado anteriormente, el Edge Network Firewall se activará automáticamente en caso de ataque DDoS, incluso si está desactivado en la configuración IP.
>
+### Configurar reglas de firewall
+
+Puede configurar hasta **20 reglas por dirección IP**.
+
> [!primary]
+> Desde marzo de 2026, el Edge Network Firewall admite reglas que se aplican a rangos de puertos, además de las reglas habituales de puerto único.
>
-> - La fragmentación UDP está bloqueada (DROP) por defecto. Cuando habilite el Edge Network Firewall, si está usando una VPN, recuerde configurar correctamente la unidad de transmisión máxima (MTU). Por ejemplo, con OpenVPN, puede comprobar `MTU test`.
-> - El Edge Network Firewall (ENF) integrado en los centros de limpieza (*scrubbing centres* o VAC) solo gestiona el tráfico de red procedente de fuera de la red de OVHcloud.
->
-
-### Configurar el Edge Network Firewall
+> El uso de rangos de puertos le permite proteger con una sola regla las aplicaciones que necesitan varios puertos en secuencia. Esto garantiza que su configuración respete el límite de 20 reglas, sin tener que crear una regla distinta para cada puerto utilizado.
> [!warning]
-> Tenga en cuenta que el Edge Network Firewall de OVHcloud no puede utilizarse para abrir puertos en un servidor. Para abrir puertos en un servidor, debe pasar por el cortafuegos del sistema operativo instalado en el servidor.
+> Tenga en cuenta que el Edge Network Firewall de OVHcloud no puede utilizarse para abrir puertos en un servidor. Para abrir puertos en un servidor, debe utilizar el firewall del sistema operativo instalado en el servidor.
>
> Para más información, consulte las siguientes guías: [Configuración del firewall en Windows](/pages/bare_metal_cloud/dedicated_servers/activate-port-firewall-soft-win) y [Configuración del firewall en Linux con iptables](/pages/bare_metal_cloud/dedicated_servers/firewall-Linux-iptable).
>
-**Para añadir una regla**, haga clic en el botón `+ Añadir una regla`{.action}, situado en la parte superior izquierda de la página.
+**Para añadir una regla**, haga clic en el botón `+ Añadir una regla`{.action}, en la parte superior izquierda de la página.
|  |
|:--:|
| Haga clic en `+ Añadir una regla`{.action}. |
-Para cada regla (excluyendo TCP), debe elegir:
+Para cada regla (excepto TCP), debe elegir:
-|  |
+| {.thumbnail} |
|:--|
-| • Una prioridad (de 0 a 19, siendo 0 la primera regla que se aplica, seguida de las demás)
• Una acción (`Aceptar`{.action} o `Denegar`{.action})
• El protocolo
• IP de origen (opcional) |
+| - Una prioridad (de 0 a 19, siendo 0 la primera regla que se aplica, seguida de las demás)
- Una acción (`Aceptar`{.action} o `Denegar`{.action})
- El protocolo
- La dirección IP de origen (opcional) |
Para cada regla **TCP**, debe elegir:
-|  |
+| {.thumbnail} |
|:--|
-| • Una prioridad (de 0 a 19, siendo 0 la primera regla que se aplica, seguida de las demás)
• Una acción (`Aceptar`{.action} o `Denegar`{.action})
• El protocolo
• IP de origen (opcional)
• El puerto de origen (opcional)
• El puerto de destino (opcional)
• El estado TCP (opcional)
• Fragmentos (opcional)|
+| - Una prioridad (de 0 a 19, siendo 0 la primera regla que se aplica, seguida de las demás)
- Una acción (`Aceptar`{.action} o `Denegar`{.action})
- El protocolo
- La dirección IP de origen (opcional)
- Puerto o rango de puertos de origen (opcional)
- Puerto o rango de puertos de destino (opcional)
- El estado TCP (opcional)
- Fragmentos (opcional) |
+
+Cuando configure una regla TCP o UDP con un puerto o un rango de puertos, compruebe que los campos `puerto de origen` y `puerto de destino` contengan un número único comprendido entre 1 y 65535 (incluidos) o un rango de puertos (dos números separados por un guion, por ejemplo: 8887-8888).
> [!primary]
-> Le recomendamos que autorice el protocolo TCP con una opción `established` (para los paquetes que forman parte de una sesión previamente abierta/iniciada), los paquetes ICMP (para ping y traceroute) y, opcionalmente, las respuestas DNS UDP de los servidores externos (si utiliza servidores DNS externos).
+> Le recomendamos que autorice el protocolo TCP con la opción `established` (para los paquetes que forman parte de una sesión previamente abierta/iniciada), los paquetes ICMP (para ping y traceroute) y, opcionalmente, las respuestas DNS UDP de los servidores externos (si utiliza servidores DNS externos).
>
> **Ejemplo de configuración:**
>
> - Prioridad 0: Autorizar TCP `established`
> - Prioridad 1: Autorizar UDP, puerto de origen 53
> - Prioridad 2: Autorizar ICMP
-> - Prioridad 19: Denegar la IPv4
+> - Prioridad 19: Denegar IPv4
> [!warning]
-> Las configuraciones de firewall con reglas de modo "Aceptar" únicamente no son efectivas en absoluto. Debe haber una instrucción acerca del tráfico que debe interrumpir el firewall. Verá una advertencia a menos que se cree la regla "Denegar".
+> Las configuraciones de firewall con únicamente reglas en modo "Aceptar" no son efectivas en absoluto. Debe existir una instrucción que indique qué tráfico debe ser bloqueado por el firewall. Recibirá un aviso a menos que se cree una regla "Denegar".
>
**Activar/desactivar el firewall:**
|  |
|:--:|
-| Utilice el botón de encendido/apagado para activar o desactivar el firewall. |
+| Utilice el botón de conmutación para activar o desactivar el firewall. |
+
+Tras la validación, el firewall se activará o desactivará.
+
+Tenga en cuenta que las reglas permanecen desactivadas hasta que se detecta un ataque, momento en el que se activan. Esta lógica puede utilizarse para reglas que solo están activas cuando se produce un ataque repetido conocido.
+
+### Errores frecuentes y buenas prácticas
+
+#### Definir simultáneamente los puertos de origen y destino en una misma regla
+
+Al crear reglas de firewall, definir a la vez el puerto de origen y el puerto de destino es generalmente un error de configuración. En efecto, los puertos de origen suelen ser asignados de forma aleatoria por el sistema operativo del cliente (puertos efímeros).
+
+Si establece una regla con un puerto de origen específico, es probable que el tráfico legítimo se bloquee en cuanto el puerto del cliente cambie en la sesión siguiente. Para garantizar la continuidad de la conexión, debe especificar únicamente el puerto de destino (el puerto de su servicio).
+
+**Buena práctica:** Deje el puerto de origen vacío, salvo que esté filtrando tráfico procedente de un sistema especializado con una configuración de salida estática.
+
+#### Rangos de puertos demasiado amplios
+
+Crear reglas que autoricen el tráfico en rangos de puertos muy amplios puede suponer un riesgo de seguridad, ya que aumenta considerablemente la superficie de ataque de su servidor. Esto puede provocar varios problemas:
-Tras la validación, el cortafuegos se activará o desactivará.
+- Podría exponer inadvertidamente servicios en segundo plano que no están destinados a ser públicos, con el consiguiente riesgo de filtraciones de información sobre su sistema que permitan a actores maliciosos sondear su servidor en busca de vulnerabilidades.
+- La auditoría y la resolución de problemas se vuelven mucho más complejas, ya que resulta más difícil verificar qué aplicaciones se están comunicando realmente, lo que puede ocultar errores de configuración o intrusiones.
+- Los rangos UDP amplios abiertos son frecuentemente objeto de ataques de amplificación y reflexión, porque la probabilidad de encontrar servicios expuestos es mayor. Los atacantes pueden suplantar una dirección IP objetivo para enviar pequeñas peticiones a los servicios de ese rango, los cuales responden con paquetes mucho más voluminosos. De este modo, utilizan su servidor para lanzar ataques DDoS al tiempo que saturan potencialmente su propio ancho de banda.
-Tenga en cuenta que las reglas se desactivan hasta que se detecta un ataque y, a continuación, se activan. Esta lógica se puede utilizar para reglas que sólo están activas cuando entra un ataque repetido conocido.
+**Buena práctica:** Utilice únicamente rangos restringidos para los puertos secuenciales requeridos por una aplicación específica (p. ej.: 5000-5100).
### Ejemplo de configuración
-Para asegurarse de que sólo se dejan abiertos los puertos estándar para SSH (22), HTTP (80), HTTPS (443) y UDP (53) al autorizar ICMP, siga las reglas siguientes:
+Para asegurarse de que solo los puertos SSH (22), HTTP (80), HTTPS (443) y UDP (53) permanecen abiertos al autorizar ICMP, siga las reglas que se indican a continuación:
{.thumbnail}
-Las reglas se ordenan de 0 (la primera regla leída) a 19 (la última). La cadena de reglas se detiene en cuanto se aplica una regla al paquete.
+Las reglas se ordenan de 0 (la primera regla leída) a 19 (la última). La cadena deja de analizarse en cuanto se aplica una regla al paquete.
-Por ejemplo, la regla 2 interceptará un paquete para el puerto TCP 80 y no se aplicarán las reglas siguientes. Un paquete para el puerto TCP 25 sólo será capturado por la última regla (19), que lo bloqueará porque el firewall no permite la comunicación en el puerto 25 en las reglas anteriores.
+Por ejemplo, un paquete para el puerto TCP 80 será interceptado por la regla 2 y las reglas siguientes no se aplicarán. Un paquete para el puerto TCP 25 solo será capturado por la última regla (19), que lo bloqueará porque el firewall no autoriza la comunicación en el puerto 25 en las reglas anteriores.
> [!warning]
-> La configuración anterior es solo un ejemplo y solo debe utilizarse como referencia si las reglas no se aplican a los servicios alojados en su servidor. Es esencial que configure las reglas de su firewall para que coincidan con los servicios alojados en su servidor. Una configuración incorrecta de las reglas del firewall puede provocar el bloqueo del tráfico legítimo y la imposibilidad de acceder a los servicios del servidor.
+> La configuración anterior es solo un ejemplo y debe utilizarse como referencia únicamente si las reglas no se aplican a los servicios alojados en su servidor. Es imprescindible configurar las reglas de su firewall para que correspondan con los servicios alojados en su servidor. Una configuración incorrecta de las reglas de firewall puede provocar el bloqueo del tráfico legítimo y la imposibilidad de acceder a los servicios del servidor.
>
-### Mitigación de ataques: actividad del centro de limpieza
+### Mitigación de ataques - Actividad del centro de limpieza (Scrubbing Center)
-Nuestra infraestructura anti-DDoS (VAC) funciona automáticamente. El proceso de mitigación se realiza a través del centro de limpieza automatizado. Aquí es donde nuestra tecnología avanzada analiza en profundidad los paquetes e intenta eliminar el tráfico DDoS, permitiendo al mismo tiempo el paso del tráfico legítimo.
+Nuestra Infraestructura anti-DDoS (VAC) funciona automáticamente. El proceso de mitigación se realiza a través de un centro de limpieza (**Scrubbing Center**) automatizado. Es aquí donde nuestra tecnología avanzada analiza en profundidad los paquetes e intenta eliminar el tráfico DDoS, permitiendo al mismo tiempo el paso del tráfico legítimo.
-Todas las IP de OVHcloud están sujetas a mitigación automática. En caso de que se detecte tráfico malicioso, se activa el centro de limpieza. Este estado se indica mediante el estado "Forzado" para una dirección IP determinada. En este momento, el firewall de red perimetral también está activo. La situación vuelve a la normalidad cuando se mitiga el ataque y no se observa ninguna actividad sospechosa.
+Todas las direcciones IP de OVHcloud están sujetas a mitigación automática. Si se detecta tráfico malicioso, se activa el **Scrubbing Center**. Este estado se indica mediante un estado "Forzado" para una dirección IP determinada. El Edge Network Firewall también está activo. La situación vuelve a la normalidad cuando el ataque es mitigado y no se observa más actividad sospechosa.
> [!success]
> **Sugerencias**
>
-> Puede crear reglas de firewall que sólo se apliquen después de que se haya detectado un ataque. Para ello, deben crearse reglas de Edge Network Firewall, pero deben deshabilitarse.
+> Puede crear reglas de firewall dedicadas a los ataques y que solo se apliquen tras la detección de un ataque. Para ello, deben crearse reglas de Edge Network Firewall, pero desactivadas.
>
> [!warning]
-> Si nuestra infraestructura anti-DDoS mitiga un ataque, las reglas del Edge Network Firewall se aplicarán eventualmente, incluso si ha desactivado el firewall. Si ha desactivado el firewall, recuerde eliminar también las reglas.
+> Si nuestra Infraestructura anti-DDoS mitiga un ataque, las reglas de su Edge Network Firewall terminarán por aplicarse, incluso si ha desactivado el firewall. Si ha desactivado su firewall, recuerde eliminar también sus reglas.
>
-> Tenga en cuenta que nuestra infraestructura anti-DDoS no puede desactivarse en un servicio. Todos los productos de OVHcloud se entregan dentro del ámbito de protección y esto no se puede cambiar.
+> Tenga en cuenta que la Infraestructura anti-DDoS no puede desactivarse en un servicio. Todos los productos de OVHcloud se entregan con este dispositivo y esto no puede modificarse.
>
## Network Security Dashboard
-Para obtener información detallada sobre los ataques detectados y los resultados de las actividades del centro de limpieza, le recomendamos que explore nuestro [Network Security Dashboard](/pages/bare_metal_cloud/dedicated_servers/network_security_dashboard).
+Para obtener información detallada sobre los ataques detectados y los resultados de las actividades del Scrubbing Center, le recomendamos que consulte nuestra guía sobre el [Network Security Dashboard](/pages/bare_metal_cloud/dedicated_servers/network_security_dashboard).
## Conclusión
-Después de leer este tutorial, debería ser capaz de configurar el Edge Network Firewall para mejorar la seguridad de sus servicios de OVHcloud.
+Después de leer este tutorial, debería poder configurar el Edge Network Firewall para mejorar la seguridad de sus servicios de OVHcloud.
## Más información
-- [Protección de un servidor de juegos con el firewall de aplicaciones](/pages/bare_metal_cloud/dedicated_servers/firewall_game_ddos)
+- [Proteger un servidor GAME con el firewall de aplicación](/pages/bare_metal_cloud/dedicated_servers/firewall_game_ddos)
-Interactúe con nuestra [comunidad de usuarios](/links/community).
\ No newline at end of file
+Interactúe con nuestra [comunidad de usuarios](/links/community).
diff --git a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.fr-ca.md b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.fr-ca.md
index 61c7af128d1..30f6e9b250f 100644
--- a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.fr-ca.md
+++ b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.fr-ca.md
@@ -1,7 +1,7 @@
---
title: 'Activer et configurer le Edge Network Firewall'
excerpt: 'Découvrez comment configurer le Edge Network Firewall pour vos services'
-updated: 2026-01-06
+updated: 2026-03-09
---
## Objectif
@@ -17,7 +17,7 @@ Pour protéger les services des clients exposés sur les adresses IP publiques,
| Infrastructure anti-DDoS et protection DDoS Game chez OVHcloud |
|:--:|
-|  |
+| {.thumbnail} |
## Prérequis
@@ -30,13 +30,17 @@ Pour protéger les services des clients exposés sur les adresses IP publiques,
> Consultez notre [comparatif](/links/bare-metal/eco-compare) pour plus d’informations.
> [!warning]
-> Le Edge Firewall Network ne prend pas en charge le protocole QUIC.
+> Le Edge Network Firewall ne prend pas en charge le protocole QUIC.
## En pratique
Le Edge Network Firewall réduit l’exposition aux attaques DDoS réseau en permettant aux utilisateurs de répliquer certaines règles de pare-feu du serveur à la périphérie du réseau OVHcloud. Cela bloque les attaques entrantes au plus près de leur source, réduisant ainsi le risque de surcharge des ressources du serveur en cas d'attaque importante.
-### Activer le Edge Network Firewall
+### Configurer le Edge Network Firewall
+
+Le Edge Network Firewall peut être activé ou désactivé par l'utilisateur à tout moment, à une exception près : il est **automatiquement activé** lorsqu’une attaque DDoS est détectée et ne **peut pas être désactivé** tant que l’attaque n’est pas terminée. Par conséquent, toutes les règles configurées dans le pare-feu sont appliquées pendant la durée de l’attaque. Cette logique permet à nos clients de décharger les règles de pare-feu du serveur à la périphérie du réseau OVHcloud pendant la durée de l'attaque.
+
+#### Accéder à la page de configuration du Edge Network Firewall
> [!primary]
>
@@ -59,24 +63,26 @@ Cliquez ensuite sur le bouton `⁝`{.action} à droite de l'IPv4 concernée et s
Vous serez amené vers la page de configuration du pare-feu.
-Vous pouvez mettre en place jusqu'à **20 règles par adresse IP**.
-
-> [!warning]
+> [!primary]
>
-> Le Edge Network Firewall est automatiquement activé lorsqu’une attaque DDoS est détectée et ne peut pas être désactivé tant que l’attaque n’est pas terminée. Par conséquent, toutes les règles configurées dans le pare-feu sont appliquées pendant la durée de l’attaque. Cette logique permet à nos clients de décharger les règles de pare-feu du serveur à la périphérie du réseau OVHcloud pendant la durée de l'attaque.
+> - La fragmentation UDP est bloquée (*DROP*) par défaut. Lors de l'activation du Edge Network Firewall, si vous utilisez un VPN, n'oubliez pas de configurer correctement votre unité de transmission maximale (MTU). Par exemple, avec OpenVPN, vous pouvez le vérifier via `MTU test`.
+> - Le Edge Network Firewall (ENF), intégré aux Scrubbing Centers (VAC), gère uniquement le trafic réseau provenant de l’extérieur du réseau OVHcloud.
>
+
+> [!warning]
> Veuillez noter que vous devez configurer vos propres pare-feux locaux même si le Edge Network Firewall a été configuré, car son rôle principal est de gérer le trafic en dehors du réseau OVHcloud.
>
> Si vous avez configuré des règles, nous vous recommandons de les vérifier régulièrement ou lors de changements dans le fonctionnement de vos services. Comme évoqué précédemment, le Edge Network Firewall sera automatiquement activé en cas d’attaque DDoS, même s’il est désactivé dans vos paramètres IP.
>
+### Configurer des règles de pare-feu
+
+Vous pouvez mettre en place jusqu'à **20 règles par adresse IP**.
+
> [!primary]
+> Depuis mars 2026, le Edge Network Firewall prend en charge des règles s'appliquant à des plages de ports, en plus des règles habituelles à port unique.
>
-> - La fragmentation UDP est bloquée (*DROP*) par défaut. Lors de l'activation du Edge Network Firewall, si vous utilisez un VPN, n'oubliez pas de configurer correctement votre unité de transmission maximale (MTU). Par exemple, avec OpenVPN, vous pouvez le vérifier via `MTU test`.
-> - Le Edge Network Firewall (ENF), intégré aux Scrubbing Centers (VAC), gère uniquement le trafic réseau provenant de l’extérieur du réseau OVHcloud.
->
-
-### Configurer le Edge Network Firewall
+> L'utilisation de plages de ports vous permet de protéger avec une seule règle les applications nécessitant plusieurs ports en séquence. Cela garantit que votre configuration respecte la limite des 20 règles, sans avoir à créer une règle distincte pour chaque port utilisé.
> [!warning]
> Veuillez noter que le Edge Network Firewall d’OVHcloud ne peut pas être utilisé pour ouvrir des ports sur un serveur. Pour ouvrir des ports sur un serveur, vous devez passer par le pare-feu du système d'exploitation installé sur le serveur.
@@ -92,15 +98,17 @@ Vous pouvez mettre en place jusqu'à **20 règles par adresse IP**.
Pour chaque règle (hors TCP), vous devez choisir :
-|  |
-|:--|
-| • Une priorité (de 0 à 19, 0 étant la première règle à appliquer, suivie des autres)
• Une action (`Accepter`{.action} ou `Refuser`{.action})
• Le protocole
• L'adresse IP source (facultatif) |
+| {.thumbnail} |
+|:--|
+| - Une priorité (de 0 à 19, 0 étant la première règle à appliquer, suivie des autres)
- Une action (`Accepter`{.action} ou `Refuser`{.action})
- Le protocole
- L'adresse IP source (facultatif) |
Pour chaque règle **TCP**, vous devez choisir :
-|  |
-|:--|
-| • Une priority (de 0 à 19, 0 étant la première règle à appliquer, suivie des autres)
• Une action (`Accepter`{.action} ou `Refuser`{.action})
• Le protocole
• L'adresse IP source (facultatif)
• Le port source (facultatif)
• Le port de destination (facultatif)
• L'état TCP (facultatif)
• Fragments (facultatif)|
+| {.thumbnail} |
+|:--|
+| - Une priorité (de 0 à 19, 0 étant la première règle à appliquer, suivie des autres)
- Une action (`Accepter`{.action} ou `Refuser`{.action})
- Le protocole
- L'adresse IP source (facultatif)
- Port ou plage de ports source (facultatif)
- Port ou plage de ports de destination (facultatif)
- L'état TCP (facultatif)
- Fragments (facultatif) |
+
+Lorsque vous configurez une règle TCP ou UDP avec un port ou une plage de ports, vérifiez que les champs `port source` et `port destination` contiennent soit un nombre unique compris entre 1 et 65535 (inclus), soit une plage de ports (deux nombres séparés par un tiret, par exemple : 8887-8888).
> [!primary]
> Nous vous conseillons d'autoriser le protocole TCP avec une option `established` (pour les paquets qui font partie d'une session précédemment ouverte/démarrée), les paquets ICMP (pour le ping et traceroute) et éventuellement les réponses DNS UDP des serveurs externes (si vous utilisez des serveurs DNS externes).
@@ -113,7 +121,7 @@ Pour chaque règle **TCP**, vous devez choisir :
> - Priorité 19 : Refuser l'IPv4
> [!warning]
-> Les configurations de pare-feu avec seulement des règles de mode « Accept » ne sont pas du tout efficaces. Une instruction doit indiquer ce qui doit être supprimé par le pare-feu. Vous recevrez un avertissement à moins qu'une règle « Refuser » ne soit créée.
+> Les configurations de pare-feu avec seulement des règles de mode `Accept` ne sont pas du tout efficaces. Une instruction doit indiquer ce qui doit être supprimé par le pare-feu. Vous recevrez un avertissement à moins qu'une règle « Refuser » ne soit créée.
>
**Activer/désactiver le pare-feu :**
@@ -122,10 +130,30 @@ Pour chaque règle **TCP**, vous devez choisir :
|:--:|
| Utilisez le bouton commutateur pour activer ou désactiver le pare-feu. |
-Après validation, le firewall sera activé ou désactivé.
+Après validation, le pare-feu sera activé ou désactivé.
Notez que les règles sont désactivées jusqu'au moment où une attaque est détectée, puis qu'elles sont activées. Cette logique peut être utilisée pour les règles qui ne sont actives que lorsqu'une attaque répétée connue arrive.
+### Erreurs courantes et bonnes pratiques
+
+#### Définir simultanément les ports source et destination dans une même règle
+
+Lors de la création de règles de pare-feu, définir à la fois le port source et le port de destination est généralement une erreur de configuration. En effet, les ports sources sont la plupart du temps attribués de manière aléatoire par le système d'exploitation du client (ports éphémères).
+
+Si vous paramétrez une règle sur un port source spécifique, le trafic légitime sera probablement bloqué dès que le port du client changera lors de la session suivante. Pour garantir la continuité de la connexion, vous ne devez spécifier que le port de destination (le port de votre service).
+
+**Bonne pratique :** Laissez le port source vide, sauf si vous filtrez le trafic provenant d'un système spécialisé disposant d'une configuration de sortie statique.
+
+#### Plages de ports trop étendues
+
+Créer des règles autorisant le trafic sur de très larges plages de ports peut constituer un risque de sécurité, car cela augmente considérablement la surface d'attaque de votre serveur. Cela peut entraîner plusieurs problèmes :
+
+- Vous pourriez exposer par inadvertance des services d'arrière-plan qui n'ont pas vocation à être publics, risquant ainsi des fuites d'informations sur votre système et permettant à des acteurs malveillants de sonder votre serveur à la recherche de vulnérabilités.
+- L'audit et le dépannage deviennent beaucoup plus complexes, car il est plus difficile de vérifier quelles applications communiquent réellement, ce qui peut masquer des erreurs de configuration ou des intrusions.
+- Les larges plages UDP ouvertes sont fréquemment ciblées par des attaques par amplification et réflexion, car la probabilité d'y trouver des services exposés est plus élevée. Des attaquants peuvent usurper une adresse IP cible pour envoyer de petites requêtes aux services de cette plage, lesquels répondent avec des paquets beaucoup plus volumineux. De cette manière, ils utilisent votre serveur pour lancer des attaques DDoS tout en saturant potentiellement votre propre bande passante.
+
+**Bonne pratique :** Utilisez uniquement des plages restreintes pour les ports séquentiels requis par une application spécifique (ex : 5000-5100).
+
### Exemple de configuration
Pour vous assurer que seuls les ports SSH (22), HTTP (80), HTTPS (443) et UDP (53) restent ouverts lors de l'autorisation de l'ICMP, suivez les règles ci-dessous :
@@ -137,7 +165,7 @@ Les règles sont triées de 0 (la première règle lue) à 19 (la dernière). La
Par exemple, un paquet pour le port TCP 80 sera intercepté par la règle 2 et les règles qui suivent ne seront pas appliquées. Un paquet pour le port TCP 25 ne sera capturé que par la dernière règle (19), ce qui le bloquera car le pare-feu n'autorise pas la communication sur le port 25 dans les règles précédentes.
> [!warning]
-> La configuration ci-dessus n'est qu'un exemple et ne doit être utilisée comme référence que si les règles ne s'appliquent pas aux services hébergés sur votre serveur. Il est indispensable de configurer les règles de votre firewall pour qu'elles correspondent aux services hébergés sur votre serveur. Une configuration incorrecte de vos règles de pare-feu peut entraîner le blocage du trafic légitime et l'inaccessibilité des services du serveur.
+> La configuration ci-dessus n'est qu'un exemple et ne doit être utilisée comme référence que si les règles ne s'appliquent pas aux services hébergés sur votre serveur. Il est indispensable de configurer les règles de votre pare-feu pour qu'elles correspondent aux services hébergés sur votre serveur. Une configuration incorrecte de vos règles de pare-feu peut entraîner le blocage du trafic légitime et l'inaccessibilité des services du serveur.
>
### Mitigation des attaques - Activité du centre de nettoyage (Scrubbing Center)
@@ -162,7 +190,7 @@ Toutes les adresses IP OVHcloud sont en mitigation automatique. Si un trafic mal
Pour un aperçu détaillé des attaques détectées et des résultats des activités du Scrubbing Center, nous vous encourageons à consulter notre guide sur le [Network Security Dashboard](/pages/bare_metal_cloud/dedicated_servers/network_security_dashboard).
-### Conclusion
+## Conclusion
Après avoir lu ce tutoriel, vous devriez pouvoir configurer le Edge Network Firewall pour améliorer la sécurité de vos services OVHcloud.
diff --git a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.fr-fr.md b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.fr-fr.md
index 61c7af128d1..30f6e9b250f 100644
--- a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.fr-fr.md
+++ b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.fr-fr.md
@@ -1,7 +1,7 @@
---
title: 'Activer et configurer le Edge Network Firewall'
excerpt: 'Découvrez comment configurer le Edge Network Firewall pour vos services'
-updated: 2026-01-06
+updated: 2026-03-09
---
## Objectif
@@ -17,7 +17,7 @@ Pour protéger les services des clients exposés sur les adresses IP publiques,
| Infrastructure anti-DDoS et protection DDoS Game chez OVHcloud |
|:--:|
-|  |
+| {.thumbnail} |
## Prérequis
@@ -30,13 +30,17 @@ Pour protéger les services des clients exposés sur les adresses IP publiques,
> Consultez notre [comparatif](/links/bare-metal/eco-compare) pour plus d’informations.
> [!warning]
-> Le Edge Firewall Network ne prend pas en charge le protocole QUIC.
+> Le Edge Network Firewall ne prend pas en charge le protocole QUIC.
## En pratique
Le Edge Network Firewall réduit l’exposition aux attaques DDoS réseau en permettant aux utilisateurs de répliquer certaines règles de pare-feu du serveur à la périphérie du réseau OVHcloud. Cela bloque les attaques entrantes au plus près de leur source, réduisant ainsi le risque de surcharge des ressources du serveur en cas d'attaque importante.
-### Activer le Edge Network Firewall
+### Configurer le Edge Network Firewall
+
+Le Edge Network Firewall peut être activé ou désactivé par l'utilisateur à tout moment, à une exception près : il est **automatiquement activé** lorsqu’une attaque DDoS est détectée et ne **peut pas être désactivé** tant que l’attaque n’est pas terminée. Par conséquent, toutes les règles configurées dans le pare-feu sont appliquées pendant la durée de l’attaque. Cette logique permet à nos clients de décharger les règles de pare-feu du serveur à la périphérie du réseau OVHcloud pendant la durée de l'attaque.
+
+#### Accéder à la page de configuration du Edge Network Firewall
> [!primary]
>
@@ -59,24 +63,26 @@ Cliquez ensuite sur le bouton `⁝`{.action} à droite de l'IPv4 concernée et s
Vous serez amené vers la page de configuration du pare-feu.
-Vous pouvez mettre en place jusqu'à **20 règles par adresse IP**.
-
-> [!warning]
+> [!primary]
>
-> Le Edge Network Firewall est automatiquement activé lorsqu’une attaque DDoS est détectée et ne peut pas être désactivé tant que l’attaque n’est pas terminée. Par conséquent, toutes les règles configurées dans le pare-feu sont appliquées pendant la durée de l’attaque. Cette logique permet à nos clients de décharger les règles de pare-feu du serveur à la périphérie du réseau OVHcloud pendant la durée de l'attaque.
+> - La fragmentation UDP est bloquée (*DROP*) par défaut. Lors de l'activation du Edge Network Firewall, si vous utilisez un VPN, n'oubliez pas de configurer correctement votre unité de transmission maximale (MTU). Par exemple, avec OpenVPN, vous pouvez le vérifier via `MTU test`.
+> - Le Edge Network Firewall (ENF), intégré aux Scrubbing Centers (VAC), gère uniquement le trafic réseau provenant de l’extérieur du réseau OVHcloud.
>
+
+> [!warning]
> Veuillez noter que vous devez configurer vos propres pare-feux locaux même si le Edge Network Firewall a été configuré, car son rôle principal est de gérer le trafic en dehors du réseau OVHcloud.
>
> Si vous avez configuré des règles, nous vous recommandons de les vérifier régulièrement ou lors de changements dans le fonctionnement de vos services. Comme évoqué précédemment, le Edge Network Firewall sera automatiquement activé en cas d’attaque DDoS, même s’il est désactivé dans vos paramètres IP.
>
+### Configurer des règles de pare-feu
+
+Vous pouvez mettre en place jusqu'à **20 règles par adresse IP**.
+
> [!primary]
+> Depuis mars 2026, le Edge Network Firewall prend en charge des règles s'appliquant à des plages de ports, en plus des règles habituelles à port unique.
>
-> - La fragmentation UDP est bloquée (*DROP*) par défaut. Lors de l'activation du Edge Network Firewall, si vous utilisez un VPN, n'oubliez pas de configurer correctement votre unité de transmission maximale (MTU). Par exemple, avec OpenVPN, vous pouvez le vérifier via `MTU test`.
-> - Le Edge Network Firewall (ENF), intégré aux Scrubbing Centers (VAC), gère uniquement le trafic réseau provenant de l’extérieur du réseau OVHcloud.
->
-
-### Configurer le Edge Network Firewall
+> L'utilisation de plages de ports vous permet de protéger avec une seule règle les applications nécessitant plusieurs ports en séquence. Cela garantit que votre configuration respecte la limite des 20 règles, sans avoir à créer une règle distincte pour chaque port utilisé.
> [!warning]
> Veuillez noter que le Edge Network Firewall d’OVHcloud ne peut pas être utilisé pour ouvrir des ports sur un serveur. Pour ouvrir des ports sur un serveur, vous devez passer par le pare-feu du système d'exploitation installé sur le serveur.
@@ -92,15 +98,17 @@ Vous pouvez mettre en place jusqu'à **20 règles par adresse IP**.
Pour chaque règle (hors TCP), vous devez choisir :
-|  |
-|:--|
-| • Une priorité (de 0 à 19, 0 étant la première règle à appliquer, suivie des autres)
• Une action (`Accepter`{.action} ou `Refuser`{.action})
• Le protocole
• L'adresse IP source (facultatif) |
+| {.thumbnail} |
+|:--|
+| - Une priorité (de 0 à 19, 0 étant la première règle à appliquer, suivie des autres)
- Une action (`Accepter`{.action} ou `Refuser`{.action})
- Le protocole
- L'adresse IP source (facultatif) |
Pour chaque règle **TCP**, vous devez choisir :
-|  |
-|:--|
-| • Une priority (de 0 à 19, 0 étant la première règle à appliquer, suivie des autres)
• Une action (`Accepter`{.action} ou `Refuser`{.action})
• Le protocole
• L'adresse IP source (facultatif)
• Le port source (facultatif)
• Le port de destination (facultatif)
• L'état TCP (facultatif)
• Fragments (facultatif)|
+| {.thumbnail} |
+|:--|
+| - Une priorité (de 0 à 19, 0 étant la première règle à appliquer, suivie des autres)
- Une action (`Accepter`{.action} ou `Refuser`{.action})
- Le protocole
- L'adresse IP source (facultatif)
- Port ou plage de ports source (facultatif)
- Port ou plage de ports de destination (facultatif)
- L'état TCP (facultatif)
- Fragments (facultatif) |
+
+Lorsque vous configurez une règle TCP ou UDP avec un port ou une plage de ports, vérifiez que les champs `port source` et `port destination` contiennent soit un nombre unique compris entre 1 et 65535 (inclus), soit une plage de ports (deux nombres séparés par un tiret, par exemple : 8887-8888).
> [!primary]
> Nous vous conseillons d'autoriser le protocole TCP avec une option `established` (pour les paquets qui font partie d'une session précédemment ouverte/démarrée), les paquets ICMP (pour le ping et traceroute) et éventuellement les réponses DNS UDP des serveurs externes (si vous utilisez des serveurs DNS externes).
@@ -113,7 +121,7 @@ Pour chaque règle **TCP**, vous devez choisir :
> - Priorité 19 : Refuser l'IPv4
> [!warning]
-> Les configurations de pare-feu avec seulement des règles de mode « Accept » ne sont pas du tout efficaces. Une instruction doit indiquer ce qui doit être supprimé par le pare-feu. Vous recevrez un avertissement à moins qu'une règle « Refuser » ne soit créée.
+> Les configurations de pare-feu avec seulement des règles de mode `Accept` ne sont pas du tout efficaces. Une instruction doit indiquer ce qui doit être supprimé par le pare-feu. Vous recevrez un avertissement à moins qu'une règle « Refuser » ne soit créée.
>
**Activer/désactiver le pare-feu :**
@@ -122,10 +130,30 @@ Pour chaque règle **TCP**, vous devez choisir :
|:--:|
| Utilisez le bouton commutateur pour activer ou désactiver le pare-feu. |
-Après validation, le firewall sera activé ou désactivé.
+Après validation, le pare-feu sera activé ou désactivé.
Notez que les règles sont désactivées jusqu'au moment où une attaque est détectée, puis qu'elles sont activées. Cette logique peut être utilisée pour les règles qui ne sont actives que lorsqu'une attaque répétée connue arrive.
+### Erreurs courantes et bonnes pratiques
+
+#### Définir simultanément les ports source et destination dans une même règle
+
+Lors de la création de règles de pare-feu, définir à la fois le port source et le port de destination est généralement une erreur de configuration. En effet, les ports sources sont la plupart du temps attribués de manière aléatoire par le système d'exploitation du client (ports éphémères).
+
+Si vous paramétrez une règle sur un port source spécifique, le trafic légitime sera probablement bloqué dès que le port du client changera lors de la session suivante. Pour garantir la continuité de la connexion, vous ne devez spécifier que le port de destination (le port de votre service).
+
+**Bonne pratique :** Laissez le port source vide, sauf si vous filtrez le trafic provenant d'un système spécialisé disposant d'une configuration de sortie statique.
+
+#### Plages de ports trop étendues
+
+Créer des règles autorisant le trafic sur de très larges plages de ports peut constituer un risque de sécurité, car cela augmente considérablement la surface d'attaque de votre serveur. Cela peut entraîner plusieurs problèmes :
+
+- Vous pourriez exposer par inadvertance des services d'arrière-plan qui n'ont pas vocation à être publics, risquant ainsi des fuites d'informations sur votre système et permettant à des acteurs malveillants de sonder votre serveur à la recherche de vulnérabilités.
+- L'audit et le dépannage deviennent beaucoup plus complexes, car il est plus difficile de vérifier quelles applications communiquent réellement, ce qui peut masquer des erreurs de configuration ou des intrusions.
+- Les larges plages UDP ouvertes sont fréquemment ciblées par des attaques par amplification et réflexion, car la probabilité d'y trouver des services exposés est plus élevée. Des attaquants peuvent usurper une adresse IP cible pour envoyer de petites requêtes aux services de cette plage, lesquels répondent avec des paquets beaucoup plus volumineux. De cette manière, ils utilisent votre serveur pour lancer des attaques DDoS tout en saturant potentiellement votre propre bande passante.
+
+**Bonne pratique :** Utilisez uniquement des plages restreintes pour les ports séquentiels requis par une application spécifique (ex : 5000-5100).
+
### Exemple de configuration
Pour vous assurer que seuls les ports SSH (22), HTTP (80), HTTPS (443) et UDP (53) restent ouverts lors de l'autorisation de l'ICMP, suivez les règles ci-dessous :
@@ -137,7 +165,7 @@ Les règles sont triées de 0 (la première règle lue) à 19 (la dernière). La
Par exemple, un paquet pour le port TCP 80 sera intercepté par la règle 2 et les règles qui suivent ne seront pas appliquées. Un paquet pour le port TCP 25 ne sera capturé que par la dernière règle (19), ce qui le bloquera car le pare-feu n'autorise pas la communication sur le port 25 dans les règles précédentes.
> [!warning]
-> La configuration ci-dessus n'est qu'un exemple et ne doit être utilisée comme référence que si les règles ne s'appliquent pas aux services hébergés sur votre serveur. Il est indispensable de configurer les règles de votre firewall pour qu'elles correspondent aux services hébergés sur votre serveur. Une configuration incorrecte de vos règles de pare-feu peut entraîner le blocage du trafic légitime et l'inaccessibilité des services du serveur.
+> La configuration ci-dessus n'est qu'un exemple et ne doit être utilisée comme référence que si les règles ne s'appliquent pas aux services hébergés sur votre serveur. Il est indispensable de configurer les règles de votre pare-feu pour qu'elles correspondent aux services hébergés sur votre serveur. Une configuration incorrecte de vos règles de pare-feu peut entraîner le blocage du trafic légitime et l'inaccessibilité des services du serveur.
>
### Mitigation des attaques - Activité du centre de nettoyage (Scrubbing Center)
@@ -162,7 +190,7 @@ Toutes les adresses IP OVHcloud sont en mitigation automatique. Si un trafic mal
Pour un aperçu détaillé des attaques détectées et des résultats des activités du Scrubbing Center, nous vous encourageons à consulter notre guide sur le [Network Security Dashboard](/pages/bare_metal_cloud/dedicated_servers/network_security_dashboard).
-### Conclusion
+## Conclusion
Après avoir lu ce tutoriel, vous devriez pouvoir configurer le Edge Network Firewall pour améliorer la sécurité de vos services OVHcloud.
diff --git a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.it-it.md b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.it-it.md
index ccc819b8179..96181add66f 100644
--- a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.it-it.md
+++ b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.it-it.md
@@ -1,173 +1,201 @@
---
-title: 'Abilitazione e configurazione di Edge Network Firewall'
-excerpt: 'Come configurare Edge Network Firewall per i servizi'
-updated: 2026-01-06
+title: 'Attivare e configurare Edge Network Firewall'
+excerpt: 'Scopri come configurare Edge Network Firewall per i tuoi servizi'
+updated: 2026-03-09
---
## Obiettivo
-Per proteggere i servizi clienti esposti agli indirizzi IP pubblici, OVHcloud offre un firewall stateless configurato e integrato nell’infrastruttura **Anti-DDoS**: Edge Network Firewall. Consente di limitare l’esposizione dei servizi agli attacchi DDoS, eliminando specifici flussi di rete provenienti dall’esterno della rete OVHcloud.
+Per proteggere i servizi dei clienti esposti sugli indirizzi IP pubblici, OVHcloud offre un firewall stateless configurato e integrato nell'**infrastruttura anti-DDoS**: Edge Network Firewall. Consente di limitare l'esposizione dei servizi agli attacchi DDoS, eliminando specifici flussi di rete che possono provenire dall'esterno della rete OVHcloud.
**Questa guida ti mostra come configurare Edge Network Firewall per i tuoi servizi.**
> [!primary]
>
-> Per maggiori informazioni sulla soluzione anti-DDoS di OVHcloud, visita [il sito Web](/links/security/antiddos).
->
+> Per maggiori informazioni sulla soluzione Anti-DDoS, [clicca qui](/links/security/antiddos).
+>
| Infrastruttura anti-DDoS e protezione DDoS Game su OVHcloud |
|:--:|
-|  |
+| {.thumbnail} |
-## Requisiti
+## Prerequisiti
-- Un servizio OVHcloud esposto su un indirizzo IP pubblico dedicato ([server dedicato](/links/bare-metal/bare-metal), [VPS](/links/bare-metal/vps), [istanza Public Cloud](/links/public-cloud/public-cloud), [Hosted Private Cloud](/links/hosted-private-cloud/vmware), [Additional IP](/links/network/additional-ip), ecc.)
-- Accesso allo [Spazio Cliente OVHcloud](/links/manager)
+- Un servizio OVHcloud esposto su un indirizzo IP pubblico dedicato ([Server Dedicato](/links/bare-metal/bare-metal), [VPS](/links/bare-metal/vps), [istanza Public Cloud](/links/public-cloud/public-cloud), [Hosted Private Cloud](/links/hosted-private-cloud/vmware), [Additional IP](/links/network/additional-ip), ecc.)
+- Avere accesso allo [Spazio Cliente OVHcloud](/links/manager)
> [!warning]
-> Questa funzionalità potrebbe non essere disponibile o essere limitata sui server della [**Linea di prodotti Eco**](/links/bare-metal/eco-about).
+> Questa funzionalità potrebbe non essere disponibile o essere limitata sui [server dedicati **Eco**](/links/bare-metal/eco-about).
>
-> Per maggiori informazioni, visitate la nostra [pagina di confronto](/links/bare-metal/eco-compare).
+> Per maggiori informazioni, consulta la nostra [pagina di confronto](/links/bare-metal/eco-compare).
> [!warning]
-> Edge Firewall Network non supporta il protocollo QUIC.
+> Edge Network Firewall non supporta il protocollo QUIC.
## Procedura
-L’Edge Network Firewall riduce l’esposizione agli attacchi DDoS di rete consentendo agli utenti di copiare alcune delle regole del firewall del server al margine della rete OVHcloud. In questo modo, gli attacchi in entrata vengono bloccati il più vicino possibile alla fonte, riducendo il rischio di saturazione delle risorse del server o delle connessioni rack in caso di attacchi gravi.
+Edge Network Firewall riduce l'esposizione agli attacchi DDoS di rete consentendo agli utenti di replicare alcune regole del firewall del server alla periferia della rete OVHcloud. Questo blocca gli attacchi in entrata il più vicino possibile alla loro origine, riducendo il rischio di sovraccarico delle risorse del server in caso di attacco importante.
+
+### Configurare Edge Network Firewall
-### Abilitazione di Edge Network Firewall
+Edge Network Firewall può essere attivato o disattivato dall'utente in qualsiasi momento, con un'eccezione: viene **attivato automaticamente** quando viene rilevato un attacco DDoS e **non può essere disattivato** fino al termine dell'attacco. Di conseguenza, tutte le regole configurate nel firewall vengono applicate per tutta la durata dell'attacco. Questa logica consente ai nostri clienti di scaricare le regole del firewall del server alla periferia della rete OVHcloud per tutta la durata dell'attacco.
+
+#### Accedere alla pagina di configurazione di Edge Network Firewall
> [!primary]
>
-> Ad oggi, questa funzione è disponibile solo per gli indirizzi IPv4.
+> A oggi, questa funzionalità è disponibile solo per gli indirizzi IPv4.
> [!primary]
>
-> Edge Network Firewall protegge un IP specifico associato a un server (o servizio). Pertanto, se si dispone di un server con più indirizzi IP, è necessario configurare ciascun IP separatamente.
->
+> Edge Network Firewall protegge un IP specifico associato a un server (o servizio). Pertanto, se disponi di un server con più indirizzi IP, devi configurare ciascun IP separatamente.
+>
Accedi allo [Spazio Cliente OVHcloud](/links/manager), clicca su `Network`{.action} nella barra laterale di sinistra e poi clicca su `Indirizzi IP Pubblici`{.action}.
-È possibile utilizzare il menu a tendina sotto **I tuoi indirizzi IP pubblici e servizi associati** per filtrare i servizi per categoria, oppure digitare direttamente l'indirizzo IP desiderato nella barra di ricerca.
+Puoi utilizzare il menu a tendina sotto **I miei indirizzi IP pubblici e servizi associati** per filtrare i tuoi servizi per categoria, oppure digitare direttamente l'indirizzo IP desiderato nella barra di ricerca.
-{.thumbnail}
+{.thumbnail}
-Quindi fare clic sul pulsante `⁝`{.action} a destra dell'IPv4 interessato e selezionare `Configurare l'Edge Network Firewall`{.action} (oppure fare clic sull'icona di stato nella colonna **Edge Firewall**).
+Clicca poi sul pulsante `⁝`{.action} a destra dell'IPv4 interessato e seleziona `Configurare Edge Network Firewall`{.action} (oppure clicca sull'icona di stato nella colonna **Edge Firewall**).
-{.thumbnail}
+{.thumbnail}
Verrai reindirizzato alla pagina di configurazione del firewall.
-È possibile impostare fino a **20 regole per IP**.
-
-> [!warning]
+> [!primary]
>
-> Edge Network Firewall si attiva automaticamente quando viene rilevato un attacco DDoS e non può essere disattivato fino a quando l'attacco non è terminato. Di conseguenza, tutte le regole configurate nel firewall vengono applicate per tutta la durata dell'attacco. Questa logica permette ai nostri clienti di scaricare le regole del firewall sul perimetro della rete OVHcloud per tutta la durata dell’attacco.
+> - La frammentazione UDP è bloccata (*DROP*) di default. Quando si attiva Edge Network Firewall, se utilizzi una VPN, ricorda di configurare correttamente la tua unità di trasmissione massima (MTU). Ad esempio, con OpenVPN, puoi verificarla tramite `MTU test`.
+> - Edge Network Firewall (ENF), integrato nei centri di scrubbing (VAC), gestisce solo il traffico di rete proveniente dall'esterno della rete OVHcloud.
>
-> Ricorda che, anche se Edge Network Firewall è stato configurato, è necessario configurare il tuo firewall locale, in quanto il suo ruolo principale è quello di gestire il traffico dall'esterno della rete OVHcloud.
+
+> [!warning]
+> Tieni presente che devi configurare i tuoi firewall locali anche se Edge Network Firewall è stato configurato, poiché il suo ruolo principale è quello di gestire il traffico proveniente dall'esterno della rete OVHcloud.
>
-> Se hai configurato alcune regole, ti consigliamo di controllarle regolarmente o di modificarne il funzionamento. Come accennato in precedenza, Edge Network Firewall verrà attivato automaticamente in caso di attacco DDoS anche se disabilitato nelle impostazioni IP.
+> Se hai configurato delle regole, ti consigliamo di verificarle regolarmente o in caso di modifiche al funzionamento dei tuoi servizi. Come accennato in precedenza, Edge Network Firewall verrà attivato automaticamente in caso di attacco DDoS, anche se è disattivato nelle impostazioni IP.
>
+### Configurare le regole del firewall
+
+Puoi impostare fino a **20 regole per indirizzo IP**.
+
> [!primary]
+> Da marzo 2026, Edge Network Firewall supporta regole applicabili a intervalli di porte, oltre alle consuete regole a porta singola.
>
-> - La frammentazione UDP è bloccata (DROP) di default. Quando si attiva Edge Network Firewall, se si utilizza una VPN, è necessario configurare correttamente la MTU (Maximum Transmission Unit). Ad esempio, con OpenVPN, puoi controllare `MTU test`.
-> - Edge Network Firewall (ENF) integrato nei centri di scrubbing (VAC) gestisce solo il traffico di rete esterno alla rete OVHcloud.
->
-
-### Configura Edge Network Firewall
+> L'utilizzo di intervalli di porte consente di proteggere con una sola regola le applicazioni che necessitano di più porte in sequenza. Questo garantisce che la configurazione rispetti il limite delle 20 regole, senza dover creare una regola distinta per ogni porta utilizzata.
> [!warning]
-> Nota che il Firewall Edge Network di OVHcloud non può essere utilizzato per aprire le porte su un server. Per aprire le porte su un server, è necessario passare attraverso il firewall del sistema operativo installato sul server.
+> Tieni presente che Edge Network Firewall di OVHcloud non può essere utilizzato per aprire le porte su un server. Per aprire le porte su un server, devi passare attraverso il firewall del sistema operativo installato sul server.
>
-> Per maggiori informazioni, consulta le seguenti guide: [Configuring the firewall on Windows](/pages/bare_metal_cloud/dedicated_servers/activate-port-firewall-soft-win) and [Configuring the firewall on Linux with iptables](/pages/bare_metal_cloud/dedicated_servers/firewall-Linux-iptable).
+> Per maggiori informazioni, consulta le seguenti guide: [Configurazione del firewall su Windows](/pages/bare_metal_cloud/dedicated_servers/activate-port-firewall-soft-win) e [Configurazione del firewall su Linux con iptables](/pages/bare_metal_cloud/dedicated_servers/firewall-Linux-iptable).
>
-**Per aggiungere una regola**, clicca sul pulsante `+ Aggiungiere una regola`{.action}, in alto a sinistra nella pagina.
+**Per aggiungere una regola**, clicca sul pulsante `+ Aggiungere una regola`{.action}, in alto a sinistra nella pagina.
|  |
-|:--:|
-| Clicca su `+ Aggiungiere una regola`{.action}. |
+|:--:|
+| Clicca su `+ Aggiungere una regola`{.action}. |
-Per ogni regola (TCP escluso), è necessario scegliere:
+Per ogni regola (escluso TCP), devi scegliere:
-|  |
-|:--|
-| • Una priorità (da 0 a 19, dove 0 rappresenta la prima regola da applicare, seguita dalle altre)
• Un'azione (`Accept`{.action} or `Deny`{.action})
• Il protocollo
• Source IP (facoltativo) |
+| {.thumbnail} |
+|:--|
+| - Una priorità (da 0 a 19, dove 0 rappresenta la prima regola da applicare, seguita dalle altre)
- Un'azione (`Accettare`{.action} o `Rifiutare`{.action})
- Il protocollo
- L'indirizzo IP sorgente (facoltativo) |
-Per ogni regola **TCP**, è necessario scegliere:
+Per ogni regola **TCP**, devi scegliere:
-|  |
-|:--|
-| • A priority (da 0 a 19, dove 0 rappresenta la prima regola da applicare, seguita dalle altre)
• An action (`Accept`{.action} or `Deny`{.action})
• The protocol
• Source IP (optional)
• The source port (optional)
• The destination port (optional)
• The TCP state (optional)
• Fragments (optional)|
+| {.thumbnail} |
+|:--|
+| - Una priorità (da 0 a 19, dove 0 rappresenta la prima regola da applicare, seguita dalle altre)
- Un'azione (`Accettare`{.action} o `Rifiutare`{.action})
- Il protocollo
- L'indirizzo IP sorgente (facoltativo)
- Porta o intervallo di porte sorgente (facoltativo)
- Porta o intervallo di porte di destinazione (facoltativo)
- Lo stato TCP (facoltativo)
- Frammenti (facoltativo) |
+
+Quando configuri una regola TCP o UDP con una porta o un intervallo di porte, verifica che i campi `porta sorgente` e `porta di destinazione` contengano un numero unico compreso tra 1 e 65535 (incluso), oppure un intervallo di porte (due numeri separati da un trattino, ad esempio: 8887-8888).
> [!primary]
-> Ti consigliamo di autorizzare il protocollo TCP con un’opzione `established` (per i pacchetti che fanno parte di una sessione precedentemente aperta/avviata), i pacchetti ICMP (per il ping e traceroute) ed eventualmente le risposte DNS UDP dei server esterni (se utilizzi server DNS esterni).
+> Ti consigliamo di autorizzare il protocollo TCP con un'opzione `established` (per i pacchetti che fanno parte di una sessione precedentemente aperta/avviata), i pacchetti ICMP (per il ping e traceroute) ed eventualmente le risposte DNS UDP dei server esterni (se utilizzi server DNS esterni).
>
> **Esempio di configurazione:**
>
-> - Priorità 0: Autorizza TCP `established`
-> - Priorità 1: Consenti UDP, porta sorgente 53
-> - Priorità 2: Consenti ICMP
-> - Priorità 19: Rifiutare l'IPv4
+> - Priorità 0: Autorizzare TCP `established`
+> - Priorità 1: Autorizzare UDP, porta sorgente 53
+> - Priorità 2: Autorizzare ICMP
+> - Priorità 19: Rifiutare IPv4
> [!warning]
-> Le configurazioni del firewall con la sola modalità "Accept" non sono per niente efficaci. È necessario specificare il traffico che deve essere rilasciato dal firewall. Se non viene creata una regola di tipo "Nega", verrà visualizzato un avviso.
->
+> Le configurazioni del firewall con solo regole in modalità `Accept` non sono affatto efficaci. Un'istruzione deve indicare cosa deve essere eliminato dal firewall. Riceverai un avviso a meno che non venga creata una regola "Rifiutare".
+>
**Attivare/disattivare il firewall:**
|  |
-|:--:|
-| Utilizzare il pulsante di commutazione per attivare o disattivare il firewall. |
+|:--:|
+| Utilizza il pulsante di commutazione per attivare o disattivare il firewall. |
Dopo la convalida, il firewall verrà attivato o disattivato.
-Si noti che le regole vengono disattivate fino al momento in cui viene rilevato un attacco, quindi vengono attivate. Questa logica può essere utilizzata per regole attive solo quando è in arrivo un attacco ripetuto noto.
+Tieni presente che le regole sono disattivate fino al momento in cui viene rilevato un attacco, dopodiché vengono attivate. Questa logica può essere utilizzata per regole che sono attive solo quando arriva un attacco ripetuto noto.
+
+### Errori comuni e buone pratiche
+
+#### Definire contemporaneamente le porte sorgente e di destinazione nella stessa regola
+
+Quando si creano regole del firewall, definire sia la porta sorgente che la porta di destinazione è generalmente un errore di configurazione. Infatti, le porte sorgente sono nella maggior parte dei casi assegnate in modo casuale dal sistema operativo del client (porte effimere).
+
+Se imposti una regola su una porta sorgente specifica, il traffico legittimo verrà probabilmente bloccato non appena la porta del client cambierà nella sessione successiva. Per garantire la continuità della connessione, devi specificare solo la porta di destinazione (la porta del tuo servizio).
+
+**Buona pratica:** Lascia la porta sorgente vuota, a meno che tu non stia filtrando il traffico proveniente da un sistema specializzato con una configurazione di uscita statica.
+
+#### Intervalli di porte troppo estesi
+
+Creare regole che autorizzano il traffico su intervalli di porte molto ampi può costituire un rischio per la sicurezza, poiché aumenta considerevolmente la superficie di attacco del tuo server. Questo può comportare diversi problemi:
+
+- Potresti esporre inavvertitamente servizi in background che non devono essere pubblici, rischiando così fughe di informazioni sul tuo sistema e consentendo ad attori malevoli di sondare il tuo server alla ricerca di vulnerabilità.
+- L'audit e la risoluzione dei problemi diventano molto più complessi, poiché è più difficile verificare quali applicazioni comunicano realmente, il che può mascherare errori di configurazione o intrusioni.
+- Gli ampi intervalli UDP aperti sono frequentemente presi di mira da attacchi per amplificazione e riflessione, poiché la probabilità di trovare servizi esposti è più elevata. Gli aggressori possono falsificare un indirizzo IP bersaglio per inviare piccole richieste ai servizi di questo intervallo, i quali rispondono con pacchetti molto più voluminosi. In questo modo, utilizzano il tuo server per lanciare attacchi DDoS saturando potenzialmente la tua stessa banda.
+
+**Buona pratica:** Utilizza solo intervalli ristretti per le porte sequenziali richieste da un'applicazione specifica (es.: 5000-5100).
### Esempio di configurazione
-Per assicurarsi che solo le porte standard per SSH (22), HTTP (80), HTTPS (443) e UDP (53) siano lasciate aperte durante l'autorizzazione dell'ICMP, segui le regole qui sotto:
+Per assicurarti che solo le porte SSH (22), HTTP (80), HTTPS (443) e UDP (53) restino aperte durante l'autorizzazione dell'ICMP, segui le regole qui sotto:
{.thumbnail}
-Le regole sono ordinate da 0 (prima regola letta) a 19 (ultima). La catena di regole si interrompe non appena una regola viene applicata al pacchetto.
+Le regole sono ordinate da 0 (la prima regola letta) a 19 (l'ultima). La catena cessa di essere analizzata non appena una regola viene applicata al pacchetto.
-Ad esempio, un pacchetto per la porta TCP 80 verrà intercettato dalla regola 2 e le regole che seguono non verranno applicate. Un pacchetto per la porta TCP 25 verrà acquisito solo dall'ultima regola (19), che lo bloccherà perché il firewall non consente la comunicazione sulla porta 25 nelle regole precedenti.
+Ad esempio, un pacchetto per la porta TCP 80 verrà intercettato dalla regola 2 e le regole successive non verranno applicate. Un pacchetto per la porta TCP 25 verrà catturato solo dall'ultima regola (19), che lo bloccherà poiché il firewall non consente la comunicazione sulla porta 25 nelle regole precedenti.
> [!warning]
-> La configurazione di cui sopra è solo un esempio e deve essere utilizzata come riferimento solo se le regole non si applicano ai servizi ospitati sul server. È fondamentale configurare le regole del firewall in modo che corrispondano ai servizi ospitati sul server. Una configurazione non corretta delle regole del firewall può causare il blocco del traffico legittimo e l'inaccessibilità dei servizi server.
->
+> La configurazione qui sopra è solo un esempio e deve essere utilizzata come riferimento solo se le regole non si applicano ai servizi ospitati sul tuo server. È indispensabile configurare le regole del tuo firewall affinché corrispondano ai servizi ospitati sul tuo server. Una configurazione non corretta delle regole del firewall può causare il blocco del traffico legittimo e l'inaccessibilità dei servizi del server.
+>
-### Mitigazione degli attacchi - attività del centro di pulitura
+### Mitigazione degli attacchi - Attività del centro di pulitura (Scrubbing Center)
-La nostra infrastruttura anti-DDoS (VAC) funziona automaticamente. Il processo di mitigazione avviene tramite il centro di filtraggio automatico. È qui che la nostra tecnologia avanzata esamina nel dettaglio i pacchetti e cerca di rimuovere il traffico DDoS, consentendo il passaggio del traffico legittimo.
+La nostra infrastruttura anti-DDoS (VAC) funziona automaticamente. Il processo di mitigazione avviene tramite un centro di pulitura (**Scrubbing Center**) automatizzato. È lì che la nostra tecnologia avanzata esamina nel dettaglio i pacchetti e cerca di rimuovere il traffico DDoS, consentendo il passaggio del traffico legittimo.
-Tutti gli IP OVHcloud sono sottoposti a mitigazione automatica. In caso di rilevamento di traffico malevolo, il centro di filtraggio si attiva. Questo stato è indicato dallo stato "Forced" (Forzato) per un determinato indirizzo IP. In questo momento è attivo anche Edge Network Firewall. La situazione torna alla normalità quando l'attacco viene mitigato e non si osservano più attività sospette.
+Tutti gli indirizzi IP OVHcloud sono sottoposti a mitigazione automatica. Se viene rilevato traffico malevolo, il **Scrubbing Center** si attiva. Questo stato è quindi rappresentato dallo stato "Forzato" per un determinato indirizzo IP. In questo momento è attivo anche Edge Network Firewall. La situazione torna alla normalità quando l'attacco viene mitigato e non si osservano più attività sospette.
> [!success]
> **Suggerimenti**
>
-> È possibile creare regole del firewall di tipo "attack-only", valide solo dopo aver rilevato un attacco. A tale scopo, è necessario creare regole di Edge Network Firewall, ma queste devono essere disattivate.
+> Puoi creare regole del firewall dedicate agli attacchi che si applicano solo dopo la rilevazione di un attacco. A tale scopo, le regole di Edge Network Firewall devono essere create ma disattivate.
>
> [!warning]
-> Se l'infrastruttura anti-DDoS OVHcloud mitiga un attacco, le regole Edge Network Firewall verranno applicate anche se il firewall è stato disabilitato. Se hai disattivato il firewall, ricorda di eliminare anche le regole.
->
-> La nostra infrastruttura anti-DDoS non può essere disattivata su un servizio. Tutti i prodotti OVHcloud vengono consegnati entro il perimetro di protezione e questo non può essere modificato.
+> Se la nostra infrastruttura anti-DDoS gestisce un attacco, le regole del tuo Edge Network Firewall finiranno per essere applicate, anche se hai disattivato il firewall. Se hai disattivato il tuo firewall, ricorda di eliminare anche le tue regole.
+>
+> Tieni presente che l'infrastruttura anti-DDoS non può essere disattivata su un servizio. Tutti i prodotti OVHcloud vengono forniti con questo dispositivo e questo non può essere modificato.
>
## Network Security Dashboard
-Per informazioni dettagliate sugli attacchi rilevati e sui risultati delle attività del centro di filtraggio, ti invitiamo a esplorare il nostro [Network Security Dashboard](/pages/bare_metal_cloud/dedicated_servers/network_security_dashboard).
+Per una panoramica dettagliata degli attacchi rilevati e dei risultati delle attività del Scrubbing Center, ti invitiamo a consultare la nostra guida sul [Network Security Dashboard](/pages/bare_metal_cloud/dedicated_servers/network_security_dashboard).
-## Conclusioni
+## Conclusione
Dopo aver letto questo tutorial, dovresti essere in grado di configurare Edge Network Firewall per migliorare la sicurezza dei tuoi servizi OVHcloud.
## Per saperne di più
-- [Proteggere un server game con il firewall dell’applicazione](/pages/bare_metal_cloud/dedicated_servers/firewall_game_ddos)
+- [Proteggere un server GAME con il firewall applicativo](/pages/bare_metal_cloud/dedicated_servers/firewall_game_ddos)
-Contatta la nostra [Community di utenti](/links/community).
\ No newline at end of file
+Contatta la nostra [Community di utenti](/links/community).
diff --git a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.pl-pl.md b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.pl-pl.md
index 8038a071b99..bf76cfffa69 100644
--- a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.pl-pl.md
+++ b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.pl-pl.md
@@ -1,171 +1,202 @@
---
-title: 'Aktywacja i konfiguracja Edge Network Firewall'
-excerpt: 'Dowiedz się, jak skonfigurować Edge Network Firewall dla Twoich usług'
-updated: 2026-01-06
+title: Aktywacja i konfiguracja Edge Network Firewall
+excerpt: Dowiedz się, jak skonfigurować Edge Network Firewall dla Twoich usług
+updated: 2026-03-09
---
## Wprowadzenie
-Aby chronić usługi dostępne dla klientów korzystających z publicznych adresów IP, OVHcloud udostępniło zaporę ogniową, skonfigurowaną i zintegrowaną z **infrastrukturą Anty-DDoS**: Edge Network Firewall Pozwala to ograniczyć ekspozycję usługi na ataki DDoS, usuwając określone przepływy sieciowe pochodzące spoza sieci OVHcloud.
+Aby chronić usługi klientów udostępnione na publicznych adresach IP, OVHcloud oferuje zaporę bezstanową, skonfigurowaną i zintegrowaną z **Infrastrukturą Anty-DDoS**: Edge Network Firewall. Ogranicza ona ekspozycję na ataki DDoS poprzez odrzucanie określonych przepływów sieciowych pochodzących spoza sieci OVHcloud.
**Ten przewodnik wyjaśnia, jak skonfigurować Edge Network Firewall dla Twoich usług.**
> [!primary]
>
> Więcej informacji na temat rozwiązania Anty-DDoS znajdziesz na [naszej stronie WWW](/links/security/antiddos).
->
+>
-| Infrastruktura Anty-DDoS & usługi ochrony gier diagram w OVHcloud |
+| Schemat Infrastruktury Anty-DDoS i usług ochrony gier w OVHcloud |
|:--:|
-|  |
+| {.thumbnail} |
## Wymagania początkowe
-- Usługa OVHcloud udostępniona na dedykowanym publicznym adresie IP ([Dedicated server](/links/bare-metal/bare-metal), [VPS](/links/bare-metal/vps), [Public Cloud instance](/links/public-cloud/public-cloud), [Hosted Private Cloud](/links/hosted-private-cloud/vmware), [Additional IP](/links/network/additional-ip) itd.)
-- Dostęp do [OVHcloud Control Panel](/links/manager)
+- Usługa OVHcloud udostępniona na dedykowanym publicznym adresie IP ([Serwer dedykowany](/links/bare-metal/bare-metal), [VPS](/links/bare-metal/vps), [instancja Public Cloud](/links/public-cloud/public-cloud), [Hosted Private Cloud](/links/hosted-private-cloud/vmware), [Additional IP](/links/network/additional-ip) itp.)
+- Dostęp do [Panelu klienta OVHcloud](/links/manager)
> [!warning]
-> Ta funkcja może być niedostępna lub ograniczona na serwerach [**Eco** product line](/links/bare-metal/eco-about).
+> Ta funkcja może być niedostępna lub ograniczona na serwerach z [linii produktów **Eco**](/links/bare-metal/eco-about).
>
-> Aby uzyskać więcej informacji, odwiedź stronę pod adresem [comparison page](/links/bare-metal/eco-compare).
+> Aby uzyskać więcej informacji, odwiedź naszą [stronę porównawczą](/links/bare-metal/eco-compare).
> [!warning]
> Edge Network Firewall nie obsługuje protokołu QUIC.
## W praktyce
-Edge Network Firewall zmniejsza ekspozycję na ataki DDoS, umożliwiając użytkownikom kopiowanie niektórych reguł firewall serwera na obrzeża sieci OVHcloud. Blokuje to przychodzące ataki jak najbliżej źródła, zmniejszając ryzyko przeciążenia zasobów serwerów lub połączeń z szafami w przypadku poważnych ataków.
+Edge Network Firewall zmniejsza ekspozycję na sieciowe ataki DDoS, umożliwiając użytkownikom skopiowanie niektórych reguł zapory serwera na brzeg sieci OVHcloud. Blokuje to przychodzące ataki jak najbliżej ich źródła, zmniejszając ryzyko przeciążenia zasobów serwera lub połączeń rack w przypadku poważnych ataków.
+
+### Konfiguracja Edge Network Firewall
-### Aktywacja opcji Edge Network Firewall
+Edge Network Firewall może być w dowolnym momencie włączony lub wyłączony przez użytkownika, z jednym wyjątkiem: jest on **automatycznie włączany** w momencie wykrycia ataku DDoS i **nie może zostać wyłączony** do momentu zakończenia ataku. W rezultacie wszystkie reguły skonfigurowane w zaporze są stosowane przez cały czas trwania ataku. Taka logika pozwala naszym klientom przenieść reguły zapory serwera na brzeg sieci OVHcloud na czas trwania ataku.
+
+#### Dostęp do strony konfiguracji Edge Network Firewall
> [!primary]
>
> Do tej pory funkcja ta jest dostępna tylko dla adresów IPv4.
+>
> [!primary]
>
-> Edge Network Firewall chroni określony adres IP powiązany z serwerem (lub usługą). Jeśli posiadasz serwer z wieloma adresami IP, skonfiguruj każdy z nich oddzielnie.
->
+> Edge Network Firewall chroni określony adres IP powiązany z serwerem (lub usługą). Jeśli posiadasz serwer z wieloma adresami IP, musisz skonfigurować każdy z nich oddzielnie.
+>
-Zaloguj się do [Panelu klienta OVHcloud](/links/manager), kliknij `Sieć`{.action} na pasku bocznym po lewej stronie, następnie kliknij `Publiczne adresy IP`{.action}. Możesz skorzystać z menu rozwijanego pod **"Moje publiczne adresy IP i usługi powiązane"**, aby filtrować usługi według kategorii, lub bezpośrednio wpisać żądany adres IP w pasku wyszukiwania.
+Zaloguj się do [Panelu klienta OVHcloud](/links/manager), otwórz menu `Sieć`{.action} na pasku bocznym po lewej stronie, a następnie kliknij `Publiczne adresy IP`{.action}.
-{.thumbnail}
+Możesz skorzystać z menu rozwijanego pod **"Moje publiczne adresy IP i powiązane usługi"**, aby filtrować usługi według kategorii, lub bezpośrednio wpisać żądany adres IP w pasku wyszukiwania.
-Następnie kliknij `⁝`{.action} Przycisk po prawej stronie odpowiedniego adresu IPv4 i najpierw wybierz `Skonfiguruj Edge Network Firewall`{.action} (lub kliknij ikonę statusu w kolumnie **Edge Firewall**).
+{.thumbnail}
-{.thumbnail}
+Następnie kliknij przycisk `⁝`{.action} po prawej stronie odpowiedniego adresu IPv4 i wybierz `Skonfiguruj Edge Network Firewall`{.action} (lub kliknij ikonę statusu w kolumnie **Edge Firewall**).
-Następnie zostaniesz przeniesiony do strony konfiguracji firewall.
+{.thumbnail}
-Dla każdego adresu IP można skonfigurować do **20 reguł**.
+Następnie zostaniesz przeniesiony na stronę konfiguracji zapory.
-> [!warning]
+> [!primary]
>
-> Edge Network Firewall jest automatycznie włączany w momencie wykrycia ataku DDoS i nie można go wyłączyć przed zakończeniem ataku. Wszystkie reguły skonfigurowane w firewallu są zatem stosowane podczas ataku. Taka logika pozwala naszym klientom na przeniesienie reguł firewalla serwera na brzeg sieci OVHcloud w czasie ataku.
+> - Fragmentacja UDP jest domyślnie zablokowana (DROP). Jeśli korzystasz z VPN, pamiętaj o prawidłowym skonfigurowaniu maksymalnej jednostki transmisji (MTU). Na przykład w przypadku OpenVPN możesz zaznaczyć opcję `MTU test`.
+> - Edge Network Firewall (ENF) zintegrowany z centrami oczyszczania (VAC) obsługuje wyłącznie ruch sieciowy pochodzący spoza sieci OVHcloud.
>
-> Pamiętaj, że nawet jeśli Edge Network Firewall został skonfigurowany, powinieneś skonfigurować własne lokalne zapory sieciowe, ponieważ jego główną rolą jest obsługa ruchu spoza sieci OVHcloud.
+
+> [!warning]
+> Pamiętaj, że powinieneś skonfigurować własne lokalne zapory sieciowe, nawet jeśli Edge Network Firewall został skonfigurowany, ponieważ jego główną rolą jest obsługa ruchu spoza sieci OVHcloud.
>
-> Jeśli masz skonfigurowane reguły, zalecamy ich regularne sprawdzanie lub zmienianie sposobu działania usług. Jak wspomniano wyżej, Edge Network Firewall będzie automatycznie włączany w przypadku ataku DDoS, nawet gdy zostanie wyłączony w ustawieniach IP.
+> Jeśli masz skonfigurowane reguły, zalecamy ich regularne sprawdzanie lub weryfikację przy zmianie sposobu działania usług. Jak wspomniano wyżej, Edge Network Firewall będzie automatycznie włączany w przypadku ataku DDoS, nawet gdy zostanie wyłączony w ustawieniach IP.
>
+### Konfigurowanie reguł zapory
+
+Możesz skonfigurować do **20 reguł na adres IP**.
+
> [!primary]
+> Od marca 2026 roku Edge Network Firewall obsługuje reguły dotyczące zakresów portów, oprócz standardowych reguł dla pojedynczych portów.
>
-> - Fragmentacja UDP jest domyślnie zablokowana (DROP). Jeśli używasz sieci VPN, to podczas aktywacji firewalla Edge Network, pamiętaj, aby poprawnie skonfigurować maksymalną jednostkę transmisji (MTU). Na przykład, korzystając z OpenVPN, możesz sprawdzić "MTU test".
-> - Zintegrowany z centrami szybkiej kontroli (VAC) Edge Network Firewall (ENF) obsługuje wyłącznie ruch sieciowy spoza sieci OVHcloud.
->
-
-### Konfigurowanie usługi Edge Network Firewall
+> Korzystając z zakresów portów, możesz chronić aplikacje wymagające wielu kolejnych portów za pomocą jednego wpisu. Dzięki temu konfiguracja mieści się w limicie 20 reguł, eliminując konieczność tworzenia osobnych reguł dla każdego portu.
> [!warning]
-> Otwieranie portów na serwerze nie jest możliwe przy użyciu firewalla OVHcloud Edge Network Firewall. Aby otworzyć porty na serwerze, należy przejść przez zaporę systemu operacyjnego zainstalowanego na serwerze.
+> Edge Network Firewall OVHcloud nie może być używany do otwierania portów na serwerze. Aby otworzyć porty na serwerze, należy skonfigurować zaporę systemu operacyjnego zainstalowanego na serwerze.
>
-> Więcej informacji znajdziesz w następujących przewodnikach: [Configuring the firewall on Windows](/pages/bare_metal_cloud/dedicated_servers/activate-port-firewall-soft-win) i [Configuring the firewall on Linux with iptables](/pages/bare_metal_cloud/dedicated_servers/firewall-Linux-iptable).
+> Więcej informacji znajdziesz w następujących przewodnikach: [Konfiguracja zapory w systemie Windows](/pages/bare_metal_cloud/dedicated_servers/activate-port-firewall-soft-win) i [Konfiguracja zapory w systemie Linux za pomocą iptables](/pages/bare_metal_cloud/dedicated_servers/firewall-Linux-iptable).
>
-**Aby dodać regułę**, kliknij przycisk `+ Dodaj reguła`{.action} w lewym górnym rogu:
+**Aby dodać regułę**, kliknij przycisk `+ Add a rule`{.action} w lewym górnym rogu:
|  |
-|:--:|
-| Kliknij opcję `+ Dodaj reguła`{.action}. |
+|:--:|
+| Kliknij `+ Add a rule`{.action}. |
-Dla każdej reguły (poza TCP) wybierz:
+Dla każdej reguły (z wyjątkiem TCP) należy wybrać:
-|  |
-|:-|
-| • Priorytet (od 0 do 19, gdzie 0 jest pierwszą zastosowaną regułą)
• Akcja (`Accept`{.action} lub `Deny`{.action})
• Protokół
• IP źródłowe (opcjonalnie) |
+| {.thumbnail} |
+|:--|
+| - Priorytet (od 0 do 19, gdzie 0 jest pierwszą zastosowaną regułą, po której następują kolejne)
- Akcję (`Accept`{.action} lub `Deny`{.action})
- Protokół
- Źródłowy adres IP (opcjonalnie) |
Dla każdej reguły **TCP** należy wybrać:
-|  |
-|:-|
-| • Priorytet (od 0 do 19, gdzie 0 jest pierwszą zastosowaną regułą)
• Akcja (`Accept`{.action} lub `Deny`{.action})
• Protokół
• IP źródłowe (opcjonalnie)
• Port źródłowy (opcjonalnie)
• Port docelowy (opcjonalnie)
• Stan TCP (opcjonalnie)
• Fragmenty (opcjonalnie)|
+| {.thumbnail} |
+|:--|
+| - Priorytet (od 0 do 19, gdzie 0 jest pierwszą zastosowaną regułą, po której następują kolejne)
- Akcję (`Accept`{.action} lub `Deny`{.action})
- Protokół
- Źródłowy adres IP (opcjonalnie)
- Port źródłowy lub zakres portów (opcjonalnie)
- Port docelowy lub zakres portów (opcjonalnie)
- Stan TCP (opcjonalnie)
- Fragmenty (opcjonalnie) |
+
+Podczas konfigurowania reguły TCP lub UDP z portem lub zakresem portów upewnij się, że pola portu źródłowego i docelowego zawierają pojedynczą liczbę z zakresu od 1 do 65535 (włącznie) lub zakres portów (dwie liczby oddzielone myślnikiem, np. 8887-8888).
> [!primary]
-> Zalecamy autoryzację protokołu TCP za pomocą opcji `established` (dla pakietów, które są częścią poprzednio otwartej/uruchomionej sesji), pakietów ICMP (dla ping i traceroute) oraz opcjonalnie odpowiedzi DNS UDP zewnętrznych serwerów (jeśli używasz zewnętrznych serwerów DNS).
+> Zalecamy autoryzację protokołu TCP z opcją "established" (dla pakietów będących częścią wcześniej otwartej/rozpoczętej sesji), pakietów ICMP (dla ping i traceroute) oraz opcjonalnie odpowiedzi DNS UDP z serwerów zewnętrznych (jeśli korzystasz z zewnętrznych serwerów DNS).
>
> **Przykład konfiguracji:**
>
-> - Priorytet 0: Zezwalaj na TCP `established`
-> - Priorytet 1: Zezwalaj na UDP, port źródłowy 53
-> - Priorytet 2: Zezwalaj na ICMP
+> - Priorytet 0: Zezwól na TCP "established"
+> - Priorytet 1: Zezwól na UDP, port źródłowy 53
+> - Priorytet 2: Zezwól na ICMP
> - Priorytet 19: Odrzuć IPv4
> [!warning]
-> Konfiguracje firewalla zawierające tylko reguły trybu "Akceptuj" nie są w ogóle skuteczne. Instrukcja określająca, który ruch powinien zostać zrzucony przez zaporę. Jeśli nie zostanie utworzona taka reguła, wyświetli się ostrzeżenie.
->
+> Konfiguracje zapory zawierające wyłącznie reguły trybu `Accept` nie są skuteczne. Musi istnieć instrukcja określająca, który ruch powinien zostać odrzucony przez zaporę. Jeśli taka reguła `Deny` nie zostanie utworzona, wyświetli się ostrzeżenie.
+>
-**Włączanie/wyłączanie firewall:**
+**Włączanie/wyłączanie zapory:**
|  |
|:--:|
-| `Włącz`{.action}, aby włączyć |
+| `Switch on`{.action}, aby włączyć |
+
+Po potwierdzeniu zapora zostanie włączona lub wyłączona.
+
+Reguły są nieaktywne do momentu wykrycia ataku — wtedy zostają aktywowane. Ta logika może być wykorzystywana dla reguł, które mają być aktywne tylko w przypadku znanego, powtarzającego się ataku.
+
+### Typowe błędy i najlepsze praktyki
+
+#### Ustawianie portu źródłowego i docelowego w tej samej regule
-Po potwierdzeniu zapora firewall włączona lub wyłączona.
+Podczas tworzenia reguł zapory definiowanie jednocześnie portu źródłowego i docelowego jest zwykle błędem konfiguracji, ponieważ porty źródłowe są zazwyczaj przypisywane losowo przez system operacyjny klienta (porty efemeryczne).
-Reguły są dezaktywowane do momentu wykrycia ataku, a następnie zostają aktywowane. Ta logika może być używana dla reguł, które są aktywne tylko wtedy, gdy nadchodzi znany powtarzalny atak.
+Jeśli zablokujesz regułę na konkretnym porcie źródłowym, prawdopodobnie spowoduje to odrzucanie prawidłowego ruchu, gdy port klienta zmieni się w kolejnej sesji. Aby zapewnić łączność, określaj wyłącznie port docelowy (port Twojej usługi).
+
+**Najlepsza praktyka:** Pozostaw pole portu źródłowego puste, chyba że filtrujesz ruch ze specjalistycznego systemu ze statyczną konfiguracją wychodzącą.
+
+#### Duże zakresy portów
+
+Tworzenie reguł zezwalających na ruch w bardzo dużych zakresach portów może stanowić zagrożenie bezpieczeństwa, ponieważ znacząco zwiększa powierzchnię ataku na serwerze. Może to skutkować kilkoma problemami:
+
+- Możesz nieumyślnie ujawnić usługi działające w tle, które nie były przeznaczone do publicznego dostępu, potencjalnie ujawniając informacje o systemie i umożliwiając złośliwym podmiotom skanowanie serwera w poszukiwaniu luk.
+- Audyt i rozwiązywanie problemów stają się znacznie trudniejsze, ponieważ trudniej jest sprawdzić, które aplikacje faktycznie komunikują się, co może maskować potencjalne błędy konfiguracji lub naruszenia bezpieczeństwa.
+- Duże otwarte zakresy UDP są często wykorzystywane w atakach amplifikacji i refleksji, ponieważ istnieje większe prawdopodobieństwo znalezienia publicznie dostępnych usług. Atakujący mogą sfałszować docelowy adres IP, aby wysyłać małe zapytania do usług w tym otwartym zakresie, które następnie odpowiadają znacznie większymi pakietami. W ten sposób skutecznie wykorzystują Twój serwer do wysyłania ataków DDoS, jednocześnie potencjalnie przeciążając Twoje własne łącze.
+
+**Najlepsza praktyka:** Używaj wyłącznie ograniczonych zakresów dla kolejnych portów wymaganych przez pojedynczą aplikację (np. 5000-5100).
### Przykład konfiguracji
-Aby pozostawić otwarte tylko standardowe porty SSH (22), HTTP (80), HTTPS (443), UDP (53) podczas autoryzacji ICMP, należy przestrzegać następujących zasad:
+Aby pozostawić otwarte tylko standardowe porty SSH (22), HTTP (80), HTTPS (443) i UDP (53) przy autoryzacji ICMP, zastosuj następujące reguły:
-{.thumbnail}
+{.thumbnail}
-Reguły są uporządkowane od 0 (pierwsza odczytana reguła) do 19 (ostatnia odczytana reguła). Reguły zatrzymują się, gdy jedna z nich dotyczy odebranego pakietu.
+Reguły są uporządkowane od 0 (pierwsza odczytana reguła) do 19 (ostatnia). Łańcuch reguł zatrzymuje się, gdy jedna z nich zostanie zastosowana do pakietu.
-Na przykład pakiet przeznaczony dla portu 80/TCP zostanie przechwycony przez regułę 2 i kolejne reguły nie zostaną zastosowane. Pakiet przeznaczony dla portu 25/TCP zostanie przechwycony tylko przez ostatnią regułę (19), która zablokuje go, ponieważ zapora nie zezwala na komunikację na porcie 25 w poprzednich regułach.
+Na przykład pakiet przeznaczony dla portu TCP 80 zostanie przechwycony przez regułę 2 i kolejne reguły nie zostaną zastosowane. Pakiet przeznaczony dla portu TCP 25 zostanie przechwycony dopiero przez ostatnią regułę (19), która go zablokuje, ponieważ zapora nie zezwala na komunikację na porcie 25 w poprzednich regułach.
> [!warning]
-> Powyższa konfiguracja jest jedynie przykładem i powinna być używana jedynie jako odniesienie, jeśli reguły nie mają zastosowania do usług hostowanych na Twoim serwerze. Konfiguracja reguł w firewallu jest niezbędna, abyś mógł dopasować reguły do usług hostowanych na Twoim serwerze. Nieprawidłowa konfiguracja reguł firewall może spowodować zablokowanie prawidłowego ruchu i niedostępność usług serwera.
->
+> Powyższa konfiguracja jest jedynie przykładem i powinna być używana wyłącznie jako odniesienie, jeśli reguły nie mają zastosowania do usług hostowanych na Twoim serwerze. Konfiguracja reguł zapory musi odpowiadać usługom hostowanym na Twoim serwerze. Nieprawidłowa konfiguracja reguł zapory może spowodować zablokowanie prawidłowego ruchu i niedostępność usług serwera.
+>
-### Filtrowanie ataku — działanie centrum oczyszczania
+### Filtrowanie ataków — działanie centrum oczyszczania
-Nasza infrastruktura Anty-DDoS (VAC) działa automatycznie. Proces mitygacji realizowany jest za pośrednictwem zautomatyzowanego centrum płukania. To tutaj nasza zaawansowana technologia przygląda się bliżej pakietom i próbuje usunąć ruch DDoS pozwalając jednocześnie na przechodzenie przez nie legalnego ruchu.
+Nasza Infrastruktura Anty-DDoS (VAC) działa automatycznie. Proces mitygacji realizowany jest za pośrednictwem zautomatyzowanego centrum oczyszczania. To tutaj nasza zaawansowana technologia dokładnie analizuje pakiety i stara się usunąć ruch DDoS, jednocześnie pozwalając na przejście prawidłowego ruchu.
-Wszystkie adresy IP OVHcloud są objęte automatyczną mitygacją. W przypadku wykrycia jakiegokolwiek złośliwego ruchu centrum płukania zostaje aktywowane. Stan ten jest określony statusem "Wymuszony" dla danego adresu IP. W tym momencie aktywny jest również Edge Firewall Network. Kiedy atak zostanie zmitygowany, sytuacja powraca do normy i nie obserwuje się już podejrzanych działań.
+Wszystkie adresy IP OVHcloud są objęte automatyczną mitygacją. W przypadku wykrycia złośliwego ruchu centrum oczyszczania zostaje aktywowane. Stan ten jest oznaczony statusem "Forced" dla danego adresu IP. W tym momencie aktywny jest również Edge Network Firewall. Sytuacja wraca do normy po zmitygowaniu ataku i braku dalszych podejrzanych działań.
> [!success]
-> **Porady**
+> **Wskazówki**
>
-> Możesz tworzyć reguły firewall tylko dla ataków, które będą stosowane po wykryciu ataku. W tym celu należy utworzyć reguły zapory sieci Edge, ale są one wyłączone.
+> Możesz tworzyć reguły zapory stosowane wyłącznie podczas ataków, które będą aktywowane dopiero po wykryciu ataku. W tym celu utwórz reguły Edge Network Firewall, ale pozostaw je wyłączone.
>
> [!warning]
-> Jeśli nasza infrastruktura Anty-DDoS mityguje atak, reguły Firewalla Edge Network zostaną zastosowane również po wyłączeniu firewalla. Jeśli wyłączyłeś firewall, pamiętaj, aby usunąć również reguły.
->
-> Pamiętaj, że nasza infrastruktura anty-DDoS nie może być wyłączona w usłudze. Wszystkie produkty OVHcloud są objęte ochroną i nie można tego zmienić.
+> Jeśli nasza Infrastruktura Anty-DDoS mityguje atak, reguły Edge Network Firewall zostaną ostatecznie zastosowane, nawet jeśli wyłączyłeś zaporę. Jeśli wyłączyłeś zaporę, pamiętaj o usunięciu również reguł.
+>
+> Pamiętaj, że Infrastruktura Anty-DDoS nie może zostać wyłączona dla usługi. Wszystkie produkty OVHcloud są dostarczane w ramach ochrony i nie można tego zmienić.
>
## Network Security Dashboard
-Aby uzyskać szczegółowe informacje na temat wykrytych ataków i wyników operacji wykonywanych przez centrum kontroli, zachęcamy do zapoznania się z naszym rozwiązaniem [Network Security Dashboard](/pages/bare_metal_cloud/dedicated_servers/network_security_dashboard).
+Aby uzyskać szczegółowe informacje na temat wykrytych ataków i wyników działań centrum oczyszczania, zachęcamy do zapoznania się z naszym [Network Security Dashboard](/pages/bare_metal_cloud/dedicated_servers/network_security_dashboard).
-## Zakończenie
+## Podsumowanie
-Po przeczytaniu tego tutoriala będziesz potrafił skonfigurować Edge Network Firewall w celu zwiększenia bezpieczeństwa usług OVHcloud.
+Po zapoznaniu się z tym przewodnikiem powinieneś być w stanie skonfigurować Edge Network Firewall w celu poprawy bezpieczeństwa Twoich usług OVHcloud.
## Sprawdź również
-- [Protecting a game server with the application firewall](/pages/bare_metal_cloud/dedicated_servers/firewall_game_ddos)
+- [Ochrona serwera gier za pomocą zapory aplikacyjnej](/pages/bare_metal_cloud/dedicated_servers/firewall_game_ddos)
-Dołącz do [grona naszych użytkowników](/links/community).
\ No newline at end of file
+Dołącz do [grona naszych użytkowników](/links/community).
diff --git a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.pt-pt.md b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.pt-pt.md
index 92d841fc62d..bbf7ab2efa9 100644
--- a/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.pt-pt.md
+++ b/pages/bare_metal_cloud/dedicated_servers/firewall_network/guide.pt-pt.md
@@ -1,42 +1,46 @@
---
-title: 'Habilitar e configurar o Edge Network Firewall'
-excerpt: 'Saiba como configurar a Edge Network Firewall para os seus serviços'
-updated: 2026-01-06
+title: 'Ativar e configurar o Edge Network Firewall'
+excerpt: 'Saiba como configurar o Edge Network Firewall para os seus serviços'
+updated: 2026-03-09
---
## Objetivo
-Para proteger os serviços dos clientes expostos aos IPs públicos, a OVHcloud oferece uma firewall stateless que é configurada e integrada na **infraestrutura Anti-DDoS**: a Edge Network Firewall. Permite limitar a exposição do serviço a ataques DDoS, ao eliminar fluxos de rede específicos provenientes de fora da rede da OVHcloud.
+Para proteger os serviços dos clientes expostos em endereços IP públicos, a OVHcloud oferece uma firewall sem estado (*stateless*) que é configurada e integrada na **Infraestrutura Anti-DDoS**: o Edge Network Firewall. Permite limitar a exposição dos serviços a ataques DDoS, eliminando fluxos de rede específicos que podem provir do exterior da rede OVHcloud.
-**Este guia explica como configurar a Edge Network Firewall para os seus serviços.**
+**Este guia explica como configurar o Edge Network Firewall para os seus serviços.**
> [!primary]
>
-> Encontrará mais informações sobre a nossa solução Anti-DDoS no [nosso website](/links/security/antiddos).
->
+> Para mais informações sobre a nossa solução Anti-DDoS, [clique aqui](/links/security/antiddos).
+>
-| Infraestrutura anti-DDoS e proteção DDoS Game na OVHcloud |
+| Infraestrutura Anti-DDoS e Proteção DDoS Game na OVHcloud |
|:--:|
-|  |
+| {.thumbnail} |
## Requisitos
- Um serviço OVHcloud exposto num endereço IP público dedicado ([Servidor dedicado](/links/bare-metal/bare-metal), [VPS](/links/bare-metal/vps), [Instância Public Cloud](/links/public-cloud/public-cloud), [Hosted Private Cloud](/links/hosted-private-cloud/vmware), [Additional IP](/links/network/additional-ip), etc.)
-- Acesso à [Área de Cliente OVHcloud](/links/manager)
+- Acesso à [área de cliente OVHcloud](/links/manager).
> [!warning]
-> Esta funcionalidade poderá estar indisponível ou limitada nos servidores da linha de produto [**Eco**](/links/bare-metal/eco-about).
+> Esta funcionalidade pode estar indisponível ou limitada nos [servidores dedicados **Eco**](/links/bare-metal/eco-about).
>
-> Visite a nossa [página de comparação](/links/bare-metal/eco-compare) para mais informações.
+> Consulte a nossa [página de comparação](/links/bare-metal/eco-compare) para mais informações.
> [!warning]
-> A Edge Firewall Network não suporta o protocolo QUIC.
+> O Edge Network Firewall não suporta o protocolo QUIC.
## Instruções
-O Edge Network Firewall reduz a exposição a ataques DDoS na rede, permitindo que os utilizadores copiem algumas das regras de firewall do servidor para o limite da rede da OVHcloud. Isto bloqueia os ataques recebidos o mais próximo possível da sua origem, reduzindo o risco de saturação dos recursos do servidor ou das ligações de rack em caso de ataques graves.
+O Edge Network Firewall reduz a exposição a ataques DDoS na rede, permitindo que os utilizadores repliquem determinadas regras de firewall do servidor na periferia da rede OVHcloud. Isto bloqueia os ataques recebidos o mais perto possível da sua origem, reduzindo assim o risco de sobrecarga dos recursos do servidor em caso de ataque significativo.
+
+### Configurar o Edge Network Firewall
-### Ativação do Edge Network Firewall
+O Edge Network Firewall pode ser ativado ou desativado pelo utilizador a qualquer momento, com uma exceção: é **automaticamente ativado** quando um ataque DDoS é detetado e **não pode ser desativado** até que o ataque termine. Por conseguinte, todas as regras configuradas na firewall são aplicadas durante a duração do ataque. Esta lógica permite que os nossos clientes transfiram as regras de firewall do servidor para a periferia da rede OVHcloud durante a duração do ataque.
+
+#### Aceder à página de configuração do Edge Network Firewall
> [!primary]
>
@@ -44,130 +48,154 @@ O Edge Network Firewall reduz a exposição a ataques DDoS na rede, permitindo q
> [!primary]
>
-> O Edge Network Firewall protege um IP específico associado a um servidor (ou serviço). Assim, se tiver um servidor com vários endereços IP, cada IP deve ser configurado separadamente.
->
+> O Edge Network Firewall protege um IP específico associado a um servidor (ou serviço). Por conseguinte, se tiver um servidor com vários endereços IP, deve configurar cada IP separadamente.
+>
-Aceda à [Área de Cliente OVHcloud](/links/manager), clique em `Network`{.action} na barra lateral à esquerda e, a seguir, clique em `Endereços IP Públicos`{.action}.
+Aceda à [área de cliente OVHcloud](/links/manager), clique em `Network`{.action} na barra lateral à esquerda e depois clique em `Endereços IP públicos`{.action}.
-Pode utilizar o menu suspenso em **Os meus endereços IP públicos e serviços associados** para filtrar os seus serviços por categoria ou digitar diretamente o endereço IP desejado na barra de pesquisa.
+Pode utilizar o menu suspenso em **Os meus endereços IP públicos e serviços associados** para filtrar os seus serviços por categoria, ou escrever diretamente o endereço IP pretendido na barra de pesquisa.
-{.thumbnail}
+{.thumbnail}
-Em seguida, clique no botão `⁝`{.action} à direita do IPv4 em questão e selecione `Configurar a Edge Network Firewall`{.action} (ou clique no ícone de estado na coluna **Edge Firewall**).
+De seguida, clique no botão `⁝`{.action} à direita do IPv4 em questão e selecione `Configurar o Edge Network Firewall`{.action} (ou clique no ícone de estado na coluna **Edge Firewall**).
-{.thumbnail}
+{.thumbnail}
Será direcionado para a página de configuração da firewall.
-Pode configurar até **20 regras por IP**.
-
-> [!warning]
+> [!primary]
>
-> O Edge Network Firewall é automaticamente ativado quando é detetado um ataque DDoS e não pode ser desativado até que o ataque termine. Consequentemente, todas as regras configuradas na firewall são aplicadas durante o ataque. Esta lógica permite que os nossos clientes transfiram as regras da firewall do servidor para o limite da rede da OVHcloud durante o ataque.
+> - A fragmentação UDP é bloqueada (*DROP*) por predefinição. Ao ativar o Edge Network Firewall, se utilizar uma VPN, não se esqueça de configurar corretamente a sua unidade de transmissão máxima (MTU). Por exemplo, com OpenVPN, pode verificá-la através de `MTU test`.
+> - O Edge Network Firewall (ENF), integrado nos centros de depuração (VAC), trata apenas o tráfego de rede proveniente do exterior da rede OVHcloud.
>
-> Tenha em conta que deve configurar as suas próprias firewalls locais, mesmo que a Edge Network Firewall tenha sido configurada, uma vez que o seu principal papel é o tratamento do tráfego externo à rede da OVHcloud.
+
+> [!warning]
+> Tenha em conta que deve configurar as suas próprias firewalls locais mesmo que o Edge Network Firewall tenha sido configurado, uma vez que o seu principal papel é gerir o tráfego fora da rede OVHcloud.
>
-> Se configurou algumas regras, recomendamos que as verifique regularmente ou ao alterar o modo de funcionamento dos seus serviços. Como mencionado anteriormente, o Firewall Edge Network será automaticamente ativado em caso de ataque DDoS, mesmo quando desativado nas configurações de IP.
+> Se configurou regras, recomendamos que as verifique regularmente ou ao alterar o funcionamento dos seus serviços. Como mencionado anteriormente, o Edge Network Firewall será automaticamente ativado em caso de ataque DDoS, mesmo que esteja desativado nos seus parâmetros IP.
>
+### Configurar regras de firewall
+
+Pode implementar até **20 regras por endereço IP**.
+
> [!primary]
+> Desde março de 2026, o Edge Network Firewall suporta regras aplicáveis a intervalos de portas, para além das regras habituais de porta única.
>
-> - A fragmentação UDP é bloqueada (DROP) por padrão. Ao ativar o Firewall da rede Edge, se você estiver usando uma VPN, lembre-se de configurar sua Unidade de transmissão máxima (MTU) corretamente. Por exemplo, com OpenVPN, pode selecionar "MTU test".
-> - O Edge Network Firewall (ENF) integrado nos centros de depuração (VAC) apenas trata o tráfego de rede proveniente de fora da rede da OVHcloud.
->
-
-### Configuração do Firewall Edge Network
+> A utilização de intervalos de portas permite proteger com uma única regra as aplicações que necessitam de várias portas em sequência. Isto garante que a sua configuração respeita o limite das 20 regras, sem ter de criar uma regra distinta para cada porta utilizada.
> [!warning]
-> Tenha em conta que o Edge Network Firewall da OVHcloud não pode ser utilizado para abrir portas num servidor. Para abrir portas num servidor, tem de passar pela firewall do sistema operativo instalado no servidor.
+> Tenha em conta que o Edge Network Firewall da OVHcloud não pode ser utilizado para abrir portas num servidor. Para abrir portas num servidor, deve passar pela firewall do sistema operativo instalado no servidor.
>
-> Para mais informações, consulte os seguintes guias: [Configurar a firewall no Windows](/pages/bare_metal_cloud/dedicated_servers/activate-port-firewall-soft-win) e [Configurar a firewall no Linux com iptables](/pages/bare_metal_cloud/dedicated_servers/firewall-Linux-iptable).
+> Para mais informações, consulte os seguintes guias: [Configuração da firewall no Windows](/pages/bare_metal_cloud/dedicated_servers/activate-port-firewall-soft-win) e [Configuração da firewall no Linux com iptables](/pages/bare_metal_cloud/dedicated_servers/firewall-Linux-iptable).
>
**Para adicionar uma regra**, clique no botão `+ Adicionar uma regra`{.action}, no canto superior esquerdo da página.
|  |
|:--:|
-| Clique em `+ Adicionar regra`{.action}. |
+| Clique em `+ Adicionar uma regra`{.action}. |
-Para cada regra (excluindo TCP), deve escolher:
+Para cada regra (exceto TCP), deve escolher:
-|  |
+| {.thumbnail} |
|:--|
-| • Uma prioridade (de 0 a 19, sendo 0 a primeira regra a ser aplicada, seguida das outras)
• Uma ação (`Aceitar`{.action} ou `Negar`{.action})
• O protocolo
• IP fonte (opcional) |
+| - Uma prioridade (de 0 a 19, sendo 0 a primeira regra a aplicar, seguida das outras)
- Uma ação (`Aceitar`{.action} ou `Recusar`{.action})
- O protocolo
- O endereço IP de origem (facultativo) |
Para cada regra **TCP**, deve escolher:
-|  |
-|:--|
-| • Uma prioridade (de 0 a 19, sendo 0 a primeira regra a ser aplicada, seguida das outras)
• Uma ação (`Aceitar`{.action} ou `Negar`{.action})
• O protocolo
• IP fonte (opcional)
• A porta fonte (opcional)
• A porta de destino (opcional)
• O estado TCP (opcional)
• Fragmentos (opcional)|
+| {.thumbnail} |
+|:--|
+| - Uma prioridade (de 0 a 19, sendo 0 a primeira regra a aplicar, seguida das outras)
- Uma ação (`Aceitar`{.action} ou `Recusar`{.action})
- O protocolo
- O endereço IP de origem (facultativo)
- Porta ou intervalo de portas de origem (facultativo)
- Porta ou intervalo de portas de destino (facultativo)
- O estado TCP (facultativo)
- Fragmentos (facultativo) |
+
+Quando configura uma regra TCP ou UDP com uma porta ou um intervalo de portas, verifique que os campos `porta de origem` e `porta de destino` contêm um número único entre 1 e 65535 (inclusive), ou um intervalo de portas (dois números separados por um hífen, por exemplo: 8887-8888).
> [!primary]
-> Aconselhamos que autorize o protocolo TCP com uma opção `established` (para os pacotes que fazem parte de uma sessão previamente aberta/iniciada), os pacotes ICMP (para o ping e traceroute) e eventualmente as respostas DNS UDP dos servidores externos (se utilizar servidores DNS externos).
+> Aconselhamos que autorize o protocolo TCP com uma opção `established` (para os pacotes que fazem parte de uma sessão previamente aberta/iniciada), os pacotes ICMP (para o ping e traceroute) e, eventualmente, as respostas DNS UDP dos servidores externos (se utilizar servidores DNS externos).
>
> **Exemplo de configuração:**
>
> - Prioridade 0: Autorizar TCP `established`
-> - Prioridade 1: Autorizar UDP, porta source 53
+> - Prioridade 1: Autorizar UDP, porta de origem 53
> - Prioridade 2: Autorizar ICMP
> - Prioridade 19: Recusar o IPv4
> [!warning]
-> As configurações de firewall apenas com regras do modo "Aceitar" não são eficazes. Deve ser fornecida uma instrução quanto ao tráfego que deve ser eliminado pela firewall. Verá um aviso, a menos que seja criada uma regra de "Negar".
->
+> As configurações de firewall apenas com regras do modo "Aceitar" não são de todo eficazes. Deve existir uma instrução que indique o que deve ser eliminado pela firewall. Receberá um aviso, a menos que seja criada uma regra "Recusar".
+>
-**Ativar/desativar o firewall:**
+**Ativar/desativar a firewall:**
|  |
|:--:|
-| Use o botão de alternância para ativar ou desativar o firewall. |
+| Utilize o botão de alternância para ativar ou desativar a firewall. |
+
+Após a validação, a firewall será ativada ou desativada.
+
+Tenha em conta que as regras são desativadas até ao momento em que um ataque é detetado, sendo depois ativadas. Esta lógica pode ser utilizada para regras que apenas ficam ativas quando um ataque repetido conhecido está a chegar.
+
+### Erros comuns e boas práticas
+
+#### Definir simultaneamente as portas de origem e de destino numa mesma regra
+
+Ao criar regras de firewall, definir tanto a porta de origem como a porta de destino é geralmente um erro de configuração. Com efeito, as portas de origem são, na maioria dos casos, atribuídas aleatoriamente pelo sistema operativo do cliente (portas efémeras).
-Após a validação, o firewall será ativado ou desativado.
+Se definir uma regra sobre uma porta de origem específica, o tráfego legítimo será provavelmente bloqueado assim que a porta do cliente mudar na sessão seguinte. Para garantir a continuidade da ligação, deve especificar apenas a porta de destino (a porta do seu serviço).
-Note que as regras são desativadas até ao momento em que um ataque é detetado, e depois são ativadas. Esta lógica pode ser utilizada para as regras que estão apenas ativas quando um ataque repetido conhecido está a chegar.
+**Boa prática:** Deixe a porta de origem vazia, exceto se estiver a filtrar tráfego proveniente de um sistema especializado com uma configuração de saída estática.
+
+#### Intervalos de portas demasiado extensos
+
+Criar regras que autorizam o tráfego em intervalos de portas muito amplos pode constituir um risco de segurança, pois aumenta consideravelmente a superfície de ataque do seu servidor. Isto pode causar vários problemas:
+
+- Pode expor inadvertidamente serviços de segundo plano que não devem ser públicos, arriscando fugas de informações sobre o seu sistema e permitindo que agentes maliciosos sondem o seu servidor à procura de vulnerabilidades.
+- A auditoria e a resolução de problemas tornam-se muito mais complexas, uma vez que é mais difícil verificar quais as aplicações que estão realmente a comunicar, o que pode ocultar erros de configuração ou intrusões.
+- Os intervalos UDP abertos e extensos são frequentemente alvo de ataques por amplificação e reflexão, pois a probabilidade de encontrar serviços expostos é mais elevada. Os atacantes podem usurpar um endereço IP alvo para enviar pequenas solicitações aos serviços nesse intervalo, os quais respondem com pacotes muito mais volumosos. Desta forma, utilizam o seu servidor para lançar ataques DDoS, saturando potencialmente a sua própria largura de banda.
+
+**Boa prática:** Utilize apenas intervalos restritos para as portas sequenciais exigidas por uma aplicação específica (ex.: 5000-5100).
### Exemplo de configuração
-Para se certificar de que apenas as portas padrão para SSH (22), HTTP (80), HTTPS (443) e UDP (53) são deixadas em aberto aquando da autorização do ICMP, siga as regras abaixo:
+Para se certificar de que apenas as portas SSH (22), HTTP (80), HTTPS (443) e UDP (53) ficam abertas ao autorizar o ICMP, siga as regras abaixo:
{.thumbnail}
-As regras são classificadas de 0 (primeira leitura) a 19 (última). A cadeia de regras pára assim que uma regra for aplicada ao pacote.
+As regras são ordenadas de 0 (a primeira regra lida) a 19 (a última). A cadeia deixa de ser analisada assim que uma regra é aplicada ao pacote.
-Por exemplo, um pacote para a porta TCP 80 será intercetado pela regra 2 e as regras a seguir não serão aplicadas. Um pacote para a porta TCP 25 só será capturado pela última regra (19), que o bloqueará porque a firewall não permite a comunicação na porta 25 nas regras anteriores.
+Por exemplo, um pacote para a porta TCP 80 será intercetado pela regra 2 e as regras seguintes não serão aplicadas. Um pacote para a porta TCP 25 só será capturado pela última regra (19), que o bloqueará porque a firewall não autoriza a comunicação na porta 25 nas regras anteriores.
> [!warning]
-> A configuração acima é apenas um exemplo e só deve ser utilizada como referência se as regras não se aplicarem aos serviços alojados no seu servidor. É essencial que configure as regras da sua firewall para que correspondam aos serviços alojados no seu servidor. Uma configuração incorreta das regras da sua firewall poderá causar o bloqueio do tráfego legítimo e a inacessibilidade dos serviços do servidor.
->
+> A configuração acima é apenas um exemplo e só deve ser utilizada como referência se as regras não se aplicarem aos serviços alojados no seu servidor. É indispensável configurar as regras da sua firewall para que correspondam aos serviços alojados no seu servidor. Uma configuração incorreta das regras da sua firewall pode causar o bloqueio do tráfego legítimo e a inacessibilidade dos serviços do servidor.
+>
-### Mitigação do ataque - limpeza da atividade do centro
+### Mitigação de ataques - Atividade do centro de depuração (Scrubbing Center)
-A nossa infraestrutura anti-DDoS (VAC) funciona automaticamente. O processo de mitigação é efetuado através do centro de depuração automático. É aqui que a nossa tecnologia avançada analisa detalhadamente os pacotes e tenta eliminar o tráfego DDoS, permitindo a passagem de tráfego legítimo.
+A nossa Infraestrutura Anti-DDoS (VAC) funciona automaticamente. O processo de mitigação é efetuado através de um centro de depuração (**Scrubbing Center**) automatizado. É aqui que a nossa tecnologia avançada analisa em profundidade os pacotes e tenta eliminar o tráfego DDoS, permitindo a passagem do tráfego legítimo.
-Todos os IPs da OVHcloud sofrem uma mitigação automática. Caso seja detetado algum tráfego malicioso, o centro de depuração é ativado. Este estado é indicado pelo estado "Forçado" para um determinado endereço IP. Neste momento, a Firewall Edge Network também está ativa. A situação volta ao normal quando o ataque é mitigado e não se observa mais nenhuma atividade suspeita.
+Todos os endereços IP OVHcloud estão em mitigação automática. Se for detetado tráfego malicioso, o **Scrubbing Center** é ativado. Este estado é então representado por um estado "Forçado" para um determinado endereço IP. O Edge Network Firewall também fica ativo. A situação volta ao normal quando o ataque é mitigado e não é observada qualquer outra atividade suspeita.
> [!success]
> **Dicas**
>
-> Pode criar regras de firewall apenas com ataques que só se aplicam depois de ser detetado um ataque. Para o fazer, as regras da Firewall de Rede Edge têm de ser criadas e desativadas.
+> Pode criar regras de firewall dedicadas a ataques que só se aplicam após a deteção de um ataque. Para tal, as regras Edge Network Firewall devem ser criadas mas desativadas.
>
> [!warning]
-> Se a nossa infraestrutura Anti-DDoS mitiga um ataque, as regras Edge Network Firewall serão aplicadas, mesmo que tenha desativado a firewall. Se desativou a sua firewall, não se esqueça de eliminar também as suas regras.
->
-> Atenção: a nossa infraestrutura Anti-DDoS não pode ser desativada para um serviço. Todos os produtos da OVHcloud são entregues dentro do âmbito da proteção e isto não pode ser alterado.
+> Se a nossa Infraestrutura Anti-DDoS tratar um ataque, as regras do seu Edge Network Firewall acabarão por ser aplicadas, mesmo que tenha desativado a firewall. Se desativou a sua firewall, não se esqueça de eliminar também as suas regras.
+>
+> Tenha em conta que a Infraestrutura Anti-DDoS não pode ser desativada num serviço. Todos os produtos OVHcloud são entregues com esta proteção e isso não pode ser alterado.
>
## Network Security Dashboard
-Para obter informações detalhadas sobre os ataques detetados e os resultados da atividade do centro de limpeza, recomendamos que explore o nosso [Network Security Dashboard](/pages/bare_metal_cloud/dedicated_servers/network_security_dashboard).
+Para uma visão detalhada dos ataques detetados e dos resultados das atividades do Scrubbing Center, convidamo-lo a consultar o nosso guia sobre o [Network Security Dashboard](/pages/bare_metal_cloud/dedicated_servers/network_security_dashboard).
## Conclusão
-Depois de ler este manual, deverá poder configurar a Edge Network Firewall para melhorar a segurança dos seus serviços OVHcloud.
+Após a leitura deste tutorial, deverá conseguir configurar o Edge Network Firewall para melhorar a segurança dos seus serviços OVHcloud.
## Quer saber mais?
-- [Proteger um servidor de jogos com a firewall de aplicações](/pages/bare_metal_cloud/dedicated_servers/firewall_game_ddos)
+- [Proteger um servidor GAME com a firewall aplicacional](/pages/bare_metal_cloud/dedicated_servers/firewall_game_ddos)
-Fale com a nossa [comunidade de utilizadores](/links/community).
\ No newline at end of file
+Fale com a nossa [comunidade de utilizadores](/links/community).
diff --git a/pages/bare_metal_cloud/dedicated_servers/firewall_network/meta.yaml b/pages/bare_metal_cloud/dedicated_servers/firewall_network/meta.yaml
index 6d7cd93b3dc..6cd643ab77f 100755
--- a/pages/bare_metal_cloud/dedicated_servers/firewall_network/meta.yaml
+++ b/pages/bare_metal_cloud/dedicated_servers/firewall_network/meta.yaml
@@ -1,4 +1,3 @@
id: 01d59fd3-92b2-4f70-b29c-2ab16876ed53
full_slug: dedicated-servers-firewall-network
-translation_banner: true
reference_category: bare-metal-cloud-dedicated-servers-security-network
\ No newline at end of file