Ir para o conteúdo

Capítulo 17 – Aliases

Introdução

O recurso de Aliases no OPNsense é uma ferramenta poderosa e essencial para a organização e simplificação da administração do firewall.
Por meio dos aliases, é possível substituir longas listas de endereços IP, redes ou portas por nomes lógicos, o que torna as regras mais claras, legíveis e fáceis de manter.

Os principais benefícios de utilizar aliases incluem:

  • Simplificação das regras: um único alias pode substituir múltiplos IPs, domínios ou portas em uma regra, reduzindo significativamente o tamanho e a complexidade das políticas de firewall.
  • Facilidade de manutenção: se um endereço IP ou porta for alterado, basta atualizar o alias em um único local. Todas as regras e serviços que o utilizam serão automaticamente atualizados.
  • Organização e legibilidade: os aliases permitem agrupar logicamente elementos de rede, como “Servidores Web Internos”, “Controladores de Domínio” ou “Portas Web Comuns (HTTP/HTTPS)”.
  • Padronização: ajudam a manter uma nomenclatura consistente entre administradores e equipes diferentes.

Com base nesses princípios, este capítulo apresenta os principais tipos de aliases disponíveis no OPNsense, suas aplicações práticas e o modo correto de criação e utilização.

Criando um Alias

O procedimento inicial para criação de um alias é sempre o mesmo:

  1. Acesse o menu Firewall → Aliases.
  2. Clique em + Add para adicionar um novo alias.
  3. Escolha o Type (Tipo) adequado conforme o objetivo.
  4. Preencha os valores conforme o tipo selecionado (Hosts, Ports, Networks, etc.).
  5. Clique em Save e depois em Apply.

Nota

Todos os tipos de alias seguem esse fluxo básico de criação.
As diferenças estão apenas nos dados inseridos e na finalidade de uso de cada tipo.

A seguir, veremos os tipos mais comuns e suas aplicações.

Alias do tipo Hosts

O tipo Hosts é usado para agrupar endereços IP individuais, endereços IPv6 ou nomes de host (que serão resolvidos automagicamente pelo OPNsense).
É indicado para reunir dispositivos específicos, como servidores internos, equipamentos de rede ou serviços externos.

Exemplo de criação:

  1. Acesse Firewall → Aliases.
  2. Clique em + Add.
  3. Preencha os campos conforme o exemplo abaixo:
    • Name: IP_SRV_DMZ
    • Type: Host(s)
    • Content: 
      10.4.1.7
fd00:4::7
servidor-banco.citrait.corp
10.4.1.8
    • Description: “Servidores de banco de dados da DMZ.”
  4. Clique em Save e depois em Apply.

Utilidade

Este tipo de alias é útil para manter centralizado o controle de dispositivos críticos.
Caso um IP mude, basta atualizar o alias sem alterar as regras.

Alias do tipo Ports

O tipo Ports agrupa números de porta ou intervalos de portas, sendo muito usado para definir grupos de serviços.
Com ele, é possível criar um alias único que representa diversos serviços simultaneamente, como HTTP, HTTPS e portas alternativas.

Exemplo de criação:

  1. Acesse Firewall → Aliases.
  2. Clique em + Add.
  3. Preencha os campos:
    • Name: PORTAS_HTTP
    • Type: Port(s)
    • Content: 
      80
443
8080
10000:20000
    • Description: “Portas de navegação web.”
  4. Clique em Save e depois em Apply.

Nota

O uso de aliases de portas é especialmente útil em ambientes com proxies, serviços de administração web ou aplicações que usam portas não convencionais.

Range de Portas

Use dois pontos para separar a porta inicial da porta final, como no exemplo 10000:20000.

Alias do tipo Networks

O tipo Networks permite agrupar blocos de rede em notação CIDR, tanto IPv4 quanto IPv6.
É ideal para agrupar sub-redes inteiras, como as redes internas, DMZs ou redes de filiais.

Exemplo de criação:

  1. Acesse Firewall → Aliases.
  2. Clique em + Add.
  3. Preencha conforme o exemplo:
    • Name: REDES_INTERNAS
    • Type: Network(s)
    • Content: 
      192.168.0.0/16
172.16.0.0/12
10.0.0.0/24
fd00:1::/64
    • Description: “Redes Internas.”
  4. Clique em Save e depois em Apply.

Alias de Network

Recomendado quando se quer aplicar regras em várias sub-redes de uma vez, como políticas de bloqueio ou liberação de tráfego interno.

Alias do tipo ASN

O tipo ASN (Autonomous System Number) identifica um sistema autônomo da Internet, geralmente correspondente a um provedor de serviços ou grande organização.
Este tipo de alias permite aplicar políticas de firewall a todos os endereços IP pertencentes a uma empresa, como Google, Meta ou Cloudflare.

Exemplo prático: criar um alias que inclua todos os IPs do WhatsApp.

  1. No prompt de comando, descubra o IP do domínio: 

    nslookup whatsapp.com
    Exemplo de resultado: 57.144.165.32

  2. Acesse o site: https://bgp.he.net/ip/57.144.165.32

  3. Verifique o número ASN associado (exemplo: AS32934, pertencente à Meta).

Criação no OPNsense:

  1. Acesse Firewall → Aliases.
  2. Clique em + Add.
  3. Preencha:
    • Name: ASN_WHATSAPP
    • Type: BGP ASN
    • Content: 32934
    • Description: “Endereços IP da Meta (WhatsApp).”
  4. Clique em Save e depois em Apply.
  5. Após aplicar, recarregue a tela e observe que o alias foi populado com dezenas de redes pertencentes ao ASN informado.

Nota

Para visualizar as redes associadas a um alias ASN, acesse Firewall → Diagnostics → Aliases e selecione o alias desejado.

Alias do tipo GeoIP

Os aliases do tipo GeoIP permitem agrupar endereços IP por país, região ou continente, utilizando bases de dados externas de geolocalização.
Esse recurso é frequentemente usado para permitir ou bloquear tráfego originado de determinados países.

Exemplo: criar um alias com todos os IPs do Brasil.

  1. Vá para Firewall → Aliases.
  2. Acesse a guia GeoIP settings.
  3. Preencha o campo URL com o endereço do banco de dados: 
    https://citrait.com.br/GeoLite2-Country-CSV_20251024.zip
  4. Clique em Apply e aguarde o carregamento.
  5. Após o “Last updated” ser exibido, volte à guia Aliases.
  6. Clique em + Add e preencha:
    • Name: GEOIP_BRASIL
    • Type: GeoIP
    • Content: selecione o país Brazil (América do Sul)
    • Description: “Endereços IP geolocalizados no Brasil.”
  7. Clique em Save e depois em Apply.

Importante

O arquivo hospedado no domínio da CITRAIT é utilizado apenas para fins didáticos neste exemplo.
Em ambientes de produção, baixe o banco de dados diretamente do site oficial da MaxMind ou configure a integração com ipinfo.io, conforme a documentação oficial.

Para visualizar os intervalos de IP incluídos no Alias acima, acesse Firewall → Diagnostics → Aliases e selecione GEOIP_BRASIL.

Alias do tipo URL e URL Table

Os aliases dos tipos URL, URL Table e URL Table (JSON) são usados para importar listas externas de endereços IP hospedadas em servidores remotos.
A diferença entre eles é a forma de atualização:

  • URL: baixa a lista apenas uma vez.
  • URL Table: baixa periodicamente, conforme a frequência configurada.
  • URL Table (JSON): mesma lógica da anterior, mas espera um arquivo JSON como fonte.

Exemplo – Criando um Alias com IPs da rede Tor:

  1. Vá para Firewall → Aliases.
  2. Clique em + Add.
  3. Preencha os campos:
    • Name: IPS_REDE_TOR
    • Type: URL Table (IPs)
    • Refresh Frequency: Days = 1
    • Content: 
      https://www.dan.me.uk/torlist/?exit
    • Description: “Endereços IP de saída da rede Tor.”
  4. Clique em Save e depois em Apply.

Aliases baseados em URLs são úteis para automatizar listas de bloqueio de IPs maliciosos ou de privacidade (Tor, Botnets, proxies abertos, etc.).

Usando Aliases em Regras de Firewall

Após criados, os aliases podem ser utilizados em qualquer regra de firewall ou NAT.
Eles podem ser aplicados nos campos Origem e Destino, e no caso dos aliases de portas, nos campos Porta Origem ou Porta Destino.

Exemplo – Bloqueando IPs da Rede Tor:

  1. Vá para Firewall → Rules → WAN.
  2. Clique em + Add.
  3. Configure:
    • Action: Reject
    • Direction: out
    • Destination: IPS_REDE_TOR
    • Log: habilitado
    • Description: “Bloqueia comunicações com IPs da rede Tor.”
  4. Clique em Save.
  5. Mova a regra para o topo da lista e clique em Apply changes.
  6. Para testar, envie um ping para um IP incluído no alias (ex.: 2.56.10.36) e verifique no Firewall → Log Files → Live View que o bloqueio foi aplicado.

Boas Práticas

  • Utilize aliases sempre que possível — evite inserir diretamente IPs ou portas em regras.
  • Crie aliases granulares e descritivos, por exemplo: PORTA_HTTP, PORTA_HTTPS, PORTA_HTTP_ALT, e depois agrupe-os em um alias composto (PORTAS_WEB).
  • Em ambientes com múltiplas filiais, adote aliases específicos por unidade (IP_FILIAL_A, IP_FILIAL_B, etc.) e um alias agregado (TODAS_FILIAIS).
  • Evite duplicação de conteúdo entre aliases.
  • Mantenha descrições claras e padronizadas.
  • Cada alias consome recursos do sistema — mantenha a estrutura otimizada e coesa.
  • Faça revisões periódicas e remova aliases obsoletos.

Otimização

O uso correto dos aliases reduz a complexidade do firewall, melhora a legibilidade e evita erros comuns em ambientes com grande número de regras.

Conclusão

O uso de aliases no OPNsense é uma das práticas mais eficazes para simplificar, padronizar e escalar a gestão do firewall.
Além de tornar as regras mais legíveis e fáceis de manter, os aliases possibilitam centralizar a administração de endereços, aumentar a consistência operacional e reduzir erros.
Os aliases contribuem diretamente para a segurança e eficiência da infraestrutura de rede.