Voltar para todos os tutoriais
Firewall 03 de junho de 2026

Como configurar segmentação de rede por VLANs no pfSense para proteger dados e separar o Wi-Fi de visitantes

Guia técnico passo a passo para planejar, configurar e testar a segmentação de rede usando VLANs no firewall pfSense, isolando redes corporativas críticas da rede de visitantes.

Como configurar segmentação de rede por VLANs no pfSense para proteger dados e separar o Wi-Fi de visitantes

Imagine a seguinte situação: um cliente visita o escritório da sua empresa, solicita a senha do Wi-Fi para responder a algumas mensagens e, sem que ninguém perceba, o notebook ou celular dele (que pode estar infectado por um ransomware) passa a ter acesso direto à mesma rede onde estão o seu servidor de arquivos, o ERP financeiro e as impressoras corporativas. Em poucos minutos, uma infecção lateral pode paralisar toda a operação do seu negócio.

Esse é um cenário extremamente comum em pequenas e médias empresas que utilizam redes “planas” (flat networks), onde todos os dispositivos — desde o servidor contábil até a smart TV da recepção e os smartphones dos visitantes — compartilham o mesmo domínio de difusão (broadcast).

A única forma definitiva de eliminar esse risco sem gastar fortunas com novas placas de rede e cabeamentos físicos adicionais é através da segmentação lógica de rede usando VLANs (Virtual Local Area Networks) sob a gestão do firewall pfSense. Neste guia prático, você aprenderá a planejar, configurar e testar a segmentação de VLANs no pfSense para isolar redes críticas e oferecer um Wi-Fi seguro para visitantes.

O Conceito de VLAN (IEEE 802.1Q)

Uma VLAN permite dividir uma única interface de rede física (como a porta LAN do seu firewall) em múltiplas redes lógicas independentes. Cada rede lógica é identificada por uma etiqueta numérica chamada VLAN ID (tag), variando de 1 a 4094, em conformidade com o padrão IEEE 802.1Q.

Para que essa segmentação funcione na prática, toda a sua infraestrutura de rede deve falar a mesma linguagem. Você precisará de:

  1. Um Firewall compatível com 802.1Q: Como o pfSense.
  2. Switches Gerenciáveis (Layer 2 ou Layer 3): Switches comuns (“burros” ou unmanaged) descartam as tags de VLAN e não servem para este propósito.
  3. Access Points (APs) Corporativos: Que suportem múltiplos SSIDs mapeados para VLANs diferentes (ex: UniFi, TP-Link Omada, Aruba Instant On).
+-------------------------------------------------------+
|                    pfSense Firewall                   |
|  Interface Física LAN (ex: igb1)                      |
|  - VLAN 10 (Adm): 192.168.10.1                        |
|  - VLAN 20 (Dados): 192.168.20.1                      |
|  - VLAN 30 (Visitantes): 192.168.30.1                 |
+-------------------------------------------------------+
                           |
                           | Cabo de Rede (Porta Trunk/Tagged)
                           v
+-------------------------------------------------------+
|                 Switch Gerenciável L2                 |
|  Portas 1-8: VLAN 10 (Computadores Administrativos)   |
|  Portas 9-16: VLAN 20 (Servidores e NAS)              |
|  Porta 24 (Trunk): Conectada ao AP Corporativo        |
+-------------------------------------------------------+
                           |
      +--------------------+--------------------+
      | (SSID: Corporativo |                    | (SSID: Visitantes
      |  VLAN ID: 10)      |                    |  VLAN ID: 30)
      v                                         v
[Laptop Administrativo]                  [Celular Visitante]

Planejamento de Escopo e Subredes

Antes de abrir o console de administração, desenhe a sua topologia no papel. Vamos utilizar o seguinte esquema prático para este tutorial:

Nome da RedeVLAN IDSubrede IPObjetivo / Dispositivos
LAN Padrão1 (Untagged)192.168.1.0/24Apenas gerência de switches e APs (Segurança)
VLAN_ADM10192.168.10.0/24Computadores administrativos, financeiro, RH
VLAN_SERVERS20192.168.20.0/24Servidores Active Directory, NAS, Banco de Dados
VLAN_GUEST30192.168.30.0/24Wi-Fi de Visitantes e dispositivos IoT (TVs, Alexa)

Passo a Passo da Configuração no pfSense

Passo 1: Criando as VLANs

  1. Acesse a interface web do seu pfSense.
  2. No menu superior, vá em Interfaces > Assignments.
  3. Clique na aba VLANs e clique no botão + Add.
  4. Configure os seguintes campos para a nossa primeira VLAN (Administrativa):
    • Parent Interface: Selecione a interface física correspondente à sua rede interna (ex: igb1 ou em1).
    • VLAN Tag: 10
    • VLAN Priority: 0 (padrão)
    • Description: VLAN_ADM
  5. Clique em Save.
  6. Repita o processo para as VLANs 20 (VLAN_SERVERS) e 30 (VLAN_GUEST), sempre associando-as à mesma Parent Interface física.

Passo 2: Atribuindo e Ativando as Interfaces

  1. Ainda em Interfaces > Assignments, clique na aba Interface Assignments.
  2. No final da página, na opção Available network ports, selecione VLAN 10 on igb1 - VLAN_ADM e clique em + Add.
  3. O pfSense criará uma nova interface com um nome genérico (ex: OPT1). Clique sobre o nome dessa nova interface para editá-la.
  4. Configure os dados da interface:
    • Enable: Marque a caixa Enable Interface.
    • Description: Altere para VLAN_ADM.
    • IPv4 Configuration Type: Selecione Static IPv4.
  5. Role até a seção Static IPv4 Configuration:
    • IPv4 Address: 192.168.10.1 / Netmask: 24
  6. Clique em Save no final da página e, em seguida, em Apply Changes.
  7. Repita estes passos para as outras VLANs, configurando a VLAN_SERVERS com o IP 192.168.20.1/24 e a VLAN_GUEST com o IP 192.168.30.1/24.

Passo 3: Ativando o Servidor DHCP para cada VLAN

Para que os computadores e celulares conectados recebam IPs automaticamente nos seus respectivos escopos, precisamos ativar o DHCP em cada nova subrede.

  1. Vá em Services > DHCP Server.
  2. Clique na aba da interface VLAN_ADM.
  3. Marque a caixa Enable DHCP server on VLAN_ADM interface.
  4. Defina o Range de IPs disponíveis para distribuição (ex: de 192.168.10.50 a 192.168.10.200).
  5. Defina o DNS Servers: Insira o IP da própria VLAN (192.168.10.1) se o pfSense for o resolvedor de DNS da rede.
  6. Clique em Save.
  7. Acesse as abas de VLAN_SERVERS e VLAN_GUEST e ative o DHCP nos respectivos ranges (ex: 192.168.20.50 - 192.168.20.200 e 192.168.30.50 - 192.168.30.200).

Configurando as Regras de Firewall (O Isolamento)

Criar VLANs sem aplicar regras no firewall é inútil. Por padrão, no pfSense, qualquer nova interface criada vem com uma política implícita de bloqueio total (Block All). Precisamos criar regras específicas para permitir a navegação e garantir o isolamento.

Vá em Firewall > Rules e selecione a aba correspondente a cada interface.

Regras para a Rede de Visitantes (VLAN_GUEST)

A rede de visitantes deve acessar a internet, mas nunca deve conversar com as outras VLANs da empresa (ADM e SERVERS) e tampouco acessar o console web de administração do próprio pfSense.

Para facilitar, crie um Alias contendo as redes corporativas internas:

  1. Vá em Firewall > Aliases > IP.
  2. Clique em + Add.
  3. Name: Redes_Internas.
  4. Type: Network(s).
  5. Adicione as redes: 192.168.10.0/24 (VLAN_ADM) e 192.168.20.0/24 (VLAN_SERVERS).
  6. Clique em Save e Apply Changes.

Agora, vá em Firewall > Rules > VLAN_GUEST e crie as seguintes regras na ordem exata de cima para baixo:

  1. Regra de Bloqueio para a Web GUI/SSH do pfSense:

    • Action: Block
    • Protocol: TCP/UDP
    • Source: VLAN_GUEST net
    • Destination: VLAN_GUEST address
    • Destination Port Range: From 80, 443, 22 (crie regras individuais ou uma única com alias para essas portas).
    • Description: “Bloquear acesso administrativo ao firewall”

  2. Regra de Permissão de DNS (Crucial para a Internet funcionar):

    • Action: Pass
    • Protocol: UDP
    • Source: VLAN_GUEST net
    • Destination: VLAN_GUEST address
    • Destination Port Range: DNS (53)
    • Description: “Permitir consultas DNS ao pfSense”

  3. Regra de Bloqueio de Acesso às Redes Internas:

    • Action: Block
    • Protocol: Any
    • Source: VLAN_GUEST net
    • Destination: Single host or Network / Alias: Redes_Internas
    • Description: “Bloquear tráfego para redes internas”

  4. Regra de Permissão Geral para a Internet:

    • Action: Pass
    • Protocol: Any
    • Source: VLAN_GUEST net
    • Destination: Any
    • Description: “Permitir acesso à Internet”

[!IMPORTANT] A ordem das regras no pfSense é de cima para baixo. O tráfego é processado pela primeira regra que der “match”. Se você colocar a regra de permissão geral (Pass Any to Any) no topo, as regras de bloqueio abaixo dela serão completamente ignoradas, deixando sua rede vulnerável.

Configuração do Switch e Access Points

Para que os pacotes rotulados pelo pfSense cheguem aos destinos corretos, você deve configurar os seus switches e APs.

No Switch Gerenciável:

  1. Porta de Uplink (conexão direta pfSense <-> Switch):
    • Deve ser configurada no modo Trunk (ou Tagged).
    • Ela precisa permitir a passagem de tráfego sem tag (Untagged) para a VLAN 1 (gerência) e tráfego com tag (Tagged) para as VLANs 10, 20 e 30.
  2. Portas de Acesso (Computadores e Servidores):
    • Configure as portas dos computadores administrativos no modo Access (ou Untagged) associadas exclusivamente à VLAN 10.
    • Configure as portas dos servidores físicos associadas exclusivamente à VLAN 20.
  3. Porta do Access Point:
    • Deve ser configurada no modo Trunk (ou Tagged nas VLANs 10 e 30, e Untagged na VLAN 1 para gerência do próprio AP).

No Painel do Access Point (ex: UniFi Controller):

  1. Crie duas Redes Sem Fio (SSIDs):
    • Rede 1: “WL_Corporativo” -> Vincule-a à VLAN ID 10.
    • Rede 2: “WL_Visitantes” -> Vincule-a à VLAN ID 30 (ative a opção de isolamento de clientes/Guest Policy se disponível).

Erros Comuns na Configuração de VLANs

  • Bloquear o DNS na VLAN de Visitantes: O erro mais clássico de administradores iniciantes é criar uma regra de bloqueio total para redes internas antes de liberar a porta 53 (DNS) no pfSense. Como os dispositivos dos visitantes recebem o IP do pfSense como servidor DNS (192.168.30.1), e o firewall bloqueia esse tráfego, os dispositivos não conseguem traduzir nomes de domínio (ex: www.google.com) e a internet simplesmente não carrega, mesmo que o tráfego HTTP/HTTPS esteja liberado.
  • Esquecer de configurar as tags no Switch: Configurar tudo perfeitamente no pfSense, mas deixar o switch padrão sem configurações de VLAN. Nesse cenário, o switch receberá pacotes com a tag 802.1Q e os descartará por não reconhecê-los, impedindo a comunicação.
  • Misturar tráfego Tagged e Untagged sem critério: Enviar pacotes tagged para placas de rede comuns de computadores que não entendem tags. Certifique-se de que as portas dos computadores finais estejam sempre marcadas como “Access/Untagged” no switch.

Checklist de Validação da Segmentação

Antes de dar o projeto como concluído, execute os testes abaixo para certificar-se de que o isolamento está ativo e seguro:

  • Dispositivos conectados no Wi-Fi “Visitantes” recebem IPs no range 192.168.30.X?
  • Dispositivos na rede de visitantes conseguem navegar em sites da internet normalmente?
  • Dispositivos na rede de visitantes conseguem efetuar ping para o IP do painel de administração (192.168.10.1) e obter resposta? (O ping deve falhar).
  • Dispositivos na rede de visitantes conseguem acessar o console web do pfSense na porta 80 ou 443? (O acesso deve ser totalmente bloqueado).
  • Computadores na VLAN 10 (Administrativo) conseguem acessar os servidores na VLAN 20?
  • Dispositivos na rede de visitantes conseguem pingar ou acessar impressoras e computadores na VLAN 10? (O acesso deve falhar).
  • O tráfego de gerência dos Switches e APs está restrito à VLAN padrão de gerência?

Como a WL Tech pode ajudar a estruturar sua rede corporativa

Configurar a segmentação de rede envolve o alinhamento preciso entre firewalls, switches gerenciáveis de diferentes fabricantes e pontos de acesso Wi-Fi. Um erro simples em uma porta tagged ou na ordem das regras de firewall pode expor servidores internos ou derrubar toda a conectividade da empresa.

A WL Tech projeta e implanta arquiteturas de redes corporativas seguras, baseadas no pfSense e em switches gerenciáveis avançados. Realizamos o mapeamento completo dos fluxos de dados da sua empresa, implementamos regras de firewall restritas baseadas no princípio do menor privilégio, e configuramos redes Wi-Fi separadas e isoladas com portal de visitantes para clientes e fornecedores. Cuidamos de toda a segurança lógica da sua infraestrutura para que suas informações confidenciais permaneçam inacessíveis a ameaças externas e conexões não autorizadas.

Quer eliminar as vulnerabilidades da rede física e lógica da sua empresa com segurança? A equipe de engenharia de redes da WL Tech planeja e executa a segmentação completa por VLANs no seu firewall pfSense. Solicite uma auditoria de rede gratuita ou fale com nossos especialistas pelo WhatsApp.

Tags: pfSense VLAN segmentação de rede firewall segurança da informação Wi-Fi visitantes
Voltar para todos os tutoriais

Atendimento WL Tech

Online • Resposta imediata