Ir para o conteúdo

Capítulo 36 – Controle de Acesso

Introdução

Nos ambientes corporativos modernos, não basta apenas registrar os acessos dos usuários. É fundamental aplicar políticas de acesso diferenciadas conforme o perfil, departamento ou função dentro da organização.

O plugin de Controle de Acesso (ProxyUserAcl) estende as funcionalidades do Squid Web Proxy no OPNsense, permitindo criar perfis personalizados de navegação, com base em:

  • Usuários e grupos do Active Directory;
  • Endereços IP ou sub-redes específicas;
  • Endereços MAC de dispositivos;
  • E, de forma opcional, integração com as categorias de sites fornecidas pelo NXFilter.

Importante

Este plugin não substitui o proxy padrão do OPNsense, mas o complementa, adicionando camadas de controle granulares sobre quem pode acessar o quê — tornando a administração mais flexível e segura.

Pré-Requisitos

Antes de iniciar a instalação, certifique-se de que:

  • O Squid Web Proxy já está instalado e configurado;
  • O firewall possui acesso à internet para baixar pacotes e o repositório GitHub;
  • Você tem acesso SSH como root ao OPNsense.

Visão Geral do Processo

  1. Instalar o Git no sistema;
  2. Baixar o repositório de plugins personalizados;
  3. Instalar o plugin ProxyUserAcl;
  4. Atualizar a interface Web do OPNsense;
  5. Acessar o novo menu Policies para configurar os perfis de acesso;
  6. (Opcional) Integrar as categorias do NXFilter.

Etapa 1 – Instalação do Plugin

A instalação do plugin será feita diretamente pela linha de comando.

1. Acesse o Firewall via SSH

Conecte-se com o usuário root.

2. Instale o Git

O Git será usado para clonar o repositório de plugins.

pkg install -y git

3. Baixe o Repositório de Plugins

Clone o repositório com os plugins mantidos pela comunidade:

git clone https://github.com/sysadminbr/opnsense_plugins

4. Copie e Instale o Plugin ProxyUserAcl

Execute os comandos abaixo para copiar os arquivos do plugin e aplicar o instalador:

cp -rf opnsense_plugins/www/web-proxy-useracl/src/* /usr/local/
sh opnsense_plugins/www/web-proxy-useracl/+POST_INSTALL.post

5. Atualize a Interface Web

Após a instalação, atualize a página do firewall (tecla F5). Você verá um novo submenu dentro de Services → Squid Web Proxy, chamado Policies.

Plugin instalado com sucesso

O novo menu Policies será o ponto central para definir e gerenciar os perfis de acesso à web, permitindo filtros avançados por usuário, rede ou dispositivo.

Etapa 2 – Configuração dos Perfis de Acesso

Com o plugin instalado, você poderá criar políticas como:

  • Acesso total apenas para grupos administrativos;
  • Bloqueio de redes sociais para o setor financeiro;
  • Permissão restrita para determinados sites conforme endereço IP;
  • Exceções baseadas em dispositivos específicos (via MAC Address).

Essas políticas podem ser aplicadas em conjunto com:

  • A autenticação LDAP/SSO configurada anteriormente;
  • O NXFilter, que adiciona categorização automática de websites.

Integração com NXFilter

Caso o NXFilter esteja instalado e configurado (ver capítulo anterior), o plugin pode importar as categorias de sites automaticamente, permitindo aplicar regras como: “Bloquear jogos”, “Permitir educação”, “Restringir entretenimento”.

Etapa 3 – Remoção do Plugin

Em caso de necessidade de remoção completa do ProxyUserAcl, utilize o procedimento abaixo. A desinstalação deve ser feita via SSH, e não pela tela tradicional de plugins do OPNsense.

1. Acesse o Firewall via SSH

Entre novamente como root.

2. Instale (ou atualize) o Git

Certifique-se de ter o Git disponível:

pkg install -y git

3. Baixe a Versão Mais Recente dos Plugins

Execute:

git clone https://github.com/sysadminbr/opnsense_plugins

4. Execute o Script de Remoção

Execute o script responsável por desinstalar o plugin e limpar os arquivos associados:

sh opnsense_plugins/www/web-proxy-useracl/+POST_DEINSTALL.post

5. Reinicie o Firewall

reboot

Remoção concluída

Após o reinício, o menu Policies deixará de aparecer na interface web, confirmando que o plugin foi totalmente removido.

Conclusão

O Plugin de Controle de Acesso (ProxyUserAcl) é uma excelente extensão para o Squid Web Proxy, trazendo um nível adicional de governança e personalização nas políticas de acesso à Internet.

Com ele, é possível:

  • Criar regras distintas por usuário, grupo, rede ou dispositivo;
  • Integrar-se ao Active Directory e NXFilter;
  • Gerenciar exceções e bloqueios com flexibilidade e clareza.

Essa abordagem garante um ambiente de navegação mais controlado e alinhado às políticas corporativas, mantendo a usabilidade e a segurança dos usuários finais.