Voltar para todos os tutoriais
Segurança 19 de março de 2026

Implementando regras de firewall pfSense para bloqueio de tráfego internacional

Veja como estruturar bloqueio geográfico no pfSense com pfBlockerNG sem quebrar serviços legítimos.

Implementando regras de firewall pfSense para bloqueio de tráfego internacional

Bloqueio geográfico pode reduzir ruído de ataques automatizados, scanners e tentativas de login vindas de regiões onde sua empresa não atua. No pfSense, esse tipo de controle normalmente é feito com o pacote pfBlockerNG.

Antes de aplicar bloqueios amplos, é importante entender o risco: serviços legítimos podem usar infraestrutura global, CDNs, provedores de e-mail, APIs e nuvens públicas fora do Brasil. Por isso, a configuração deve ser testada e acompanhada por logs.

Antes de começar

Você precisa de:

  • pfSense atualizado;
  • acesso administrativo;
  • backup da configuração;
  • janela de manutenção;
  • lista de serviços críticos;
  • plano de rollback.

Nunca aplique bloqueio geográfico sem backup de configuração.

Passo 1: instale o pfBlockerNG

No painel do pfSense:

  1. acesse System > Package Manager;
  2. procure por pfBlockerNG;
  3. instale o pacote;
  4. aguarde a conclusão;
  5. acesse Firewall > pfBlockerNG.

Quando disponível, prefira a variante recomendada para sua versão do pfSense.

Passo 2: habilite GeoIP

No pfBlockerNG, habilite os recursos de GeoIP. Dependendo da versão, pode ser necessário configurar conta ou chave para bases GeoIP. Siga a documentação oficial do pacote e valide se as listas foram baixadas corretamente.

Depois, atualize as listas manualmente pela primeira vez e confira se não há erros.

Passo 3: defina a estratégia

Existem duas abordagens:

  • bloquear países de maior risco;
  • permitir apenas países necessários.

Para a maioria das empresas, bloquear regiões sem relação com o negócio é menos arriscado do que permitir apenas Brasil. Muitos serviços legítimos usam IPs internacionais.

Passo 4: crie regras de inbound

O bloqueio mais importante costuma ser na entrada. Se sua empresa não recebe acessos internacionais, bloqueie tentativas externas para serviços publicados.

Exemplos de alvos:

  • VPN;
  • serviços web internos;
  • portais de cliente;
  • acesso administrativo;
  • e-mail, quando aplicável.

Evite publicar RDP, SSH ou painéis administrativos diretamente na internet. Use VPN.

Passo 5: use allowlists

Antes de bloquear, liste exceções conhecidas:

  • IPs de fornecedores;
  • serviços cloud usados pela empresa;
  • monitoramento externo;
  • gateways de pagamento;
  • provedores de e-mail;
  • filiais ou usuários fora do Brasil.

Allowlist bem feita evita incidentes.

Passo 6: monitore logs

Após aplicar, acompanhe logs por alguns dias. Procure bloqueios indevidos e ajuste a política. Uma regra de segurança que quebra operação acaba sendo desativada às pressas; por isso, ajuste fino é parte do processo.

Checklist

  • Backup do pfSense realizado
  • pfBlockerNG instalado
  • GeoIP atualizado
  • Países definidos com critério
  • Allowlist criada
  • Logs monitorados
  • Plano de rollback documentado

Conclusão

Bloqueio internacional no pfSense é uma camada útil, mas não substitui VPN, MFA, atualização de sistemas e segmentação de rede. Use GeoIP para reduzir exposição, não como única defesa.

Quer revisar seu firewall pfSense ou OPNsense? Fale com a WL Tech.

Tags: pfSense firewall GeoIP segurança
Voltar para todos os tutoriais

Atendimento WL Tech

Online • Resposta imediata