Ir para o conteúdo

Capítulo 11 – Configurar Bridge para Portas LAN

Introdução

O recurso de bridge (ponte) no OPNsense permite unir duas ou mais interfaces físicas, fazendo com que funcionem como se estivessem no mesmo segmento lógico — atuando, na prática, como um switch em Camada 2.

Esse tipo de configuração é especialmente útil em cenários de transição ou laboratório, quando se deseja posicionar o firewall entre um roteador e a rede interna sem alterar a faixa de endereçamento IP existente.
Também é aplicável em situações onde é necessário aplicar políticas de segurança e inspeção em tráfegos que não podem ser segmentados por VLANs distintas.

No entanto, a utilização de bridges deve ser criteriosa. Em ambientes de produção, a bridge pode introduzir sobrecarga de processamento, dificultar o diagnóstico de rede e limitar o uso de funcionalidades avançadas, como NAT e roteamento.
Por isso, recomenda-se o uso de bridge apenas como solução temporária, ou em ambientes controlados.

Considerações Técnicas

Antes de iniciar, é importante entender o comportamento do sistema com bridges:

  • Interfaces físicas sem IP: apenas a interface bridge deve possuir endereço IP.
  • RSTP (Rapid Spanning Tree Protocol): deve ser ativado para evitar loops de rede.
  • Filtragem centralizada: as regras de firewall são aplicadas somente na interface BRIDGE, e não nas físicas.
  • Reinicialização obrigatória: o firewall precisa ser reiniciado após a configuração da bridge.

Pré-requisitos

  • Uma interface alternativa (ex.: WAN ou OPTx) para manter o acesso durante a reconfiguração.
  • Permissão para reiniciar o firewall.
  • As portas físicas devem estar corretamente mapeadas no switch.
  • Atenção ao risco de loops de rede — sempre ative o RSTP.

Configuração Passo a Passo

1. Registrar as interfaces que participarão da bridge

  1. Vá em Interfaces → Assignments.
  2. Adicione as interfaces que farão parte da bridge e clique em Add.
  3. Ative as interfaces, mas não atribua endereços IP.

2. Criar a bridge

  1. Acesse Interfaces → Devices → Bridge.
  2. Clique em + Add para criar uma nova bridge.
  3. Selecione as interfaces participantes (exceto a LAN por enquanto).
  4. Em Show advanced options, habilite o RSTP.
  5. Clique em Save e depois em Apply.

3. Associar a interface LAN à bridge

  1. Vá em Interfaces → Assignments.
  2. Na linha da interface LAN, altere o campo Device para o dispositivo Bridge recém-criado.
  3. Clique em Save.

Atenção

Após essa alteração, você perderá temporariamente o acesso pela LAN.
Conecte seu computador a uma das portas incluídas na bridge para continuar o gerenciamento.

4. Adicionar a antiga LAN como membro da bridge

  1. Retorne a Interfaces → Devices → Bridge.
  2. Edite a bridge criada anteriormente.
  3. Inclua a interface física da antiga LAN como membro adicional.
  4. Clique em Save e depois em Apply.

5. Reiniciar o serviço DHCP

  1. Acesse Services → Dnsmasq DNS & DHCP → General.
  2. Clique no ícone de reiniciar serviço (seta circular no canto superior direito).

6. Configurar os Tunables do sistema

Esses parâmetros garantem que a filtragem de pacotes ocorra na interface BRIDGE, e não nas interfaces físicas.

  1. Vá em System → Settings → Tunables.
  2. Adicione ou edite os seguintes parâmetros:
net.link.bridge.pfil_bridge = 1    # Filtragem na interface BRIDGE
net.link.bridge.pfil_member = 0    # Desativa filtragem nas interfaces físicas

7. Reiniciar o firewall

Reinicie o sistema para aplicar todas as alterações.

8. Verificar comunicação e regras de firewall

  1. Conecte dispositivos às portas físicas que fazem parte da bridge.
  2. Teste a conectividade (ex.: ping 192.168.0.x).

  3. Verifique o tráfego e as regras em:

  4. Interfaces → Diagnostics → Packet Capture

  5. Firewall → Log Files → Live View

Observações Importantes

  • Uso excepcional: utilize bridges apenas em situações de transição ou quando não for possível reendereçar a rede.
  • IP exclusivo da bridge: apenas a interface BRIDGE deve ter IP configurado.
  • Reinício obrigatório: o firewall precisa ser reiniciado após a criação da bridge.
  • Risco de loops: mantenha o RSTP sempre ativo.
  • Perda temporária de acesso: o gerenciamento pela LAN será interrompido durante o processo. Por isso, recomenda-se realizar a configuração pela WAN ou outra interface.
  • Filtragem centralizada: todas as regras devem ser aplicadas à interface BRIDGE.

Boas Práticas

  • Planeje antes de aplicar: entenda claramente o motivo de usar bridge; se possível, prefira VLANs.
  • Documente o ambiente: registre interfaces, IPs e conexões com o switch.
  • Valide em laboratório: bridges mal configuradas podem causar indisponibilidade.
  • Ative logs e monitoramento: utilize Packet Capture e Live View para verificar o tráfego.
  • Valide o DHCP: teste a atribuição de IP em todas as portas físicas.
  • Evite bridges complexas: quanto mais interfaces, maior o risco de degradação e dificuldade de diagnóstico.

Estudo de Caso

Cenário

Uma empresa de médio porte substituiu o roteador do provedor por um firewall OPNsense. A rede interna já estava totalmente configurada em uma única sub-rede (192.168.0.0/24), com switches e servidores legados. A migração imediata para VLANs exigiria reendereçamento de todo o ambiente, o que geraria indisponibilidade e custo operacional elevado.

Desafio

Inserir o OPNsense no ambiente sem alterar os endereços IP existentes, mantendo conectividade e aplicando políticas de segurança.

Solução com Bridge

O OPNsense foi configurado como bridge entre o modem do provedor e o switch principal. Com isso:

  • O firewall passou a atuar como switch transparente (Camada 2).
  • Todo o tráfego entre rede interna e Internet é inspecionado pelo OPNsense.
  • Foi possível aplicar regras de firewall, NAT, proxy e IDS/IPS sem reendereçar a rede.

Resultados

  • Segurança imediata com bloqueios de portas, filtragem web e IDS.
  • Migração gradual possível para VLANs.
  • Continuidade dos serviços legados sem impacto nos usuários.

Limitações

  • Desempenho: leve degradação de throughput, devido ao processamento em software.
  • Complexidade: diagnóstico de rede mais difícil que em topologias segmentadas.
  • Uso transitório: solução definida como temporária até a migração completa para VLANs.

Conclusão

A configuração de bridge no OPNsense é uma ferramenta poderosa, mas deve ser aplicada com cautela. Ela é ideal para transições controladas, ambientes de teste ou situações em que a reestruturação da rede não é imediata. No entanto, para redes de produção, o modelo baseado em VLANs e segmentação lógica continua sendo a opção mais eficiente e escalável.