Ir para o conteúdo

Capítulo 33 – Bloqueio do Acesso Direto à Internet

Introdução

Em um ambiente corporativo controlado, o ideal é que todo o tráfego web seja roteado exclusivamente pelo proxy — garantindo registro, auditoria e aplicação de políticas. Entretanto, há situações em que alguns serviços específicos precisam se conectar diretamente à Internet, seja por incompatibilidade com o proxy, sistemas externos, APIs corporativas ou exceções temporárias de troubleshooting.

Neste procedimento, você aprenderá a bloquear completamente a navegação direta, mantendo um modelo de exceções centralizado e padronizado utilizando Aliases e regras de firewall no OPNsense.

Objetivo

Ao final desta configuração:

  • Todo tráfego HTTP/HTTPS direto será bloqueado;
  • Sites específicos poderão ser liberados sem proxy;
  • Computadores selecionados poderão acessar a Internet diretamente, quando necessário.

Visão Geral do Processo

  1. Bloquear o acesso direto à Internet, desabilitando a regra padrão.
  2. Criar aliases para portas e domínios de exceção.
  3. Criar regras específicas para sites liberados sem proxy.
  4. Criar exceções completas para máquinas com permissão total de acesso direto.

Etapa 1 – Bloqueio Geral de Acesso Direto

Antes de aplicar regras específicas, é essencial eliminar qualquer permissão ampla que permita às estações navegarem diretamente.

  1. Acesse Firewall → Rules → LAN (ou outra interface que use o proxy).

  2. Desabilite a regra padrão de acesso à Internet (“Allow LAN to any rule”), caso ainda esteja ativa.

  3. Certifique-se de que existe uma regra permitindo o acesso das máquinas à porta do proxy (3128/TCP) no próprio firewall.

Atenção

Essa etapa é essencial — ao bloquear a navegação direta, as máquinas só conseguirão navegar via proxy. Se o acesso ao proxy (porta 3128) não estiver liberado, os usuários perderão totalmente a conectividade web.

Não se esqueça

Para que os computadores consigam navegar, também é necessário que a resolução DNS esteja funcionando. Caso não haja regra liberando o DNS, deverá ser criada também. Avalie os logs de firewall (live view) para verificar se o DNS não está sendo bloqueado indevidamente.

Etapa 2 – Criar Alias de Portas de Navegação Web

Para simplificar as regras, criaremos um Alias com as portas de navegação mais comuns.

  1. Vá em Firewall → Aliases, clique em + Add.

  2. Preencha da seguinte forma:

    Name PORTAS_NAVEGACAO_WEB
    Type Port(s)
    Content 80, 443
    Description Portas padrão de navegação HTTP e HTTPS

Etapa 3 – Criar Alias de Sites Exceção

Alguns sites podem apresentar incompatibilidade com o proxy e precisarão ser acessados totalmente fora do escopo do proxy, ou seja, diretamente . Para centralizar o controle, criaremos um Alias de Hosts com esses domínios.

  1. Em Firewall → Aliases, clique em + Add novamente.

  2. Configure:

    Name SITES_EXCECAO_PROXY
    Type Host(s)
    Content google.com, citrait.com.br, www.citrait.com.br, api.citrait.com.br
    Description Sites liberados para acesso direto sem proxy

Boas práticas

Sempre que adicionar domínios aqui, também cadastre-os na lista de exceções do próprio proxy (WPAD). Isso evita que o proxy tente interceptar tráfego destinado a sites liberados diretamente.

Etapa 4 – Criar Regra para Sites Liberados sem Proxy

Com os aliases criados, criaremos a regra que permite acesso direto aos sites do alias SITES_EXCECAO_PROXY.

  1. Vá em Firewall → Rules → LAN (ou na interface equivalente).
  2. Clique em + Add e configure:
Campo Valor
Action Pass
Interface LAN
Protocol TCP/UDP
Source Any
Destination SITES_EXCECAO_PROXY
Destination Port Range PORTAS_NAVEGACAO_WEB
Log ✓ (habilitado)
Description Libera acesso a sites sem Proxy
  1. Clique em Save e Apply Changes.

Escopo das exceções

Essa regra deve ser replicada em todas as interfaces onde o proxy estiver ativo, garantindo comportamento consistente.

Etapa 5 – Criar Alias de Máquinas com Acesso Total (Bypass)

Algumas máquinas — como estações administrativas, servidores de atualização ou equipamentos de diretoria — podem precisar navegar livremente. Para isso, criaremos um alias de bypass completo.

  1. Em Firewall → Aliases, clique em + Add.

  2. Configure:

    Campo Valor
    Name PCS_BYPASS_PROXY
    Type Host(s)
    Content IPs das máquinas a liberar (ex.: 192.168.1.10, 192.168.1.11)
    Description Equipamentos com acesso total fora do proxy

Etapa 6 – Criar Regra para Máquinas com Acesso Total (Bypass)

  1. Vá em Firewall → Rules → LAN.

  2. Adicione uma nova regra:

    Action Pass
    Interface LAN
    Protocol TCP/UDP
    Source PCS_BYPASS_PROXY
    Destination Any
    Destination Port Range PORTAS_NAVEGACAO_WEB
    Log
    Description Libera PCs navegarem sem Proxy

  3. Clique em Save e Apply Changes.

Etapa 7 – Testar o Bloqueio e as Exceções

  1. No computador comum da rede (não incluído em exceções):

    • Tente acessar um site externo sem proxy → Deve falhar.
    • Tente acessar um site presente na lista de exceções → Deve funcionar normalmente.

  2. No computador incluído em PCS_BYPASS_PROXY:

    • Teste o acesso direto → Deve funcionar sem proxy configurado.

  3. Verifique os logs do firewall e do Squid para confirmar o comportamento esperado.

Boas Práticas e Considerações

  • Centralize as exceções via Aliases — isso reduz o risco de inconsistências.
  • Evite servidores com acesso total para a Internet;
  • Cadastre Sistemas Críticos na lista de exceções (ERP, emissão de notas, backups, antivírus, Okta, outros).

Conclusão

Ao aplicar essas regras, você estabelece um modelo seguro e gerenciável de controle de navegação — bloqueando o acesso direto à Internet e garantindo que apenas exceções justificadas sejam liberadas. Essa abordagem melhora a visibilidade do tráfego, facilita auditorias e reduz o risco de evasão de políticas de proxy, mantendo o ambiente em conformidade e sob controle.