Monitoramento de Rede no pfSense: Gráficos, Logs e Alertas [Guia 2025

 

O pfSense vai muito além de um firewall tradicional. Ele oferece ferramentas nativas para monitorar tráfego, gerar relatórios e disparar alertas, além de suportar pacotes adicionais que ampliam a visibilidade da rede. Neste guia, vamos mostrar como aproveitar ao máximo os gráficos, logs e alertas do pfSense.

Índice

1. Logs do Sistema e Firewall
2. Monitoramento de Interfaces (Traffic Graph)
3. System Activity e Monitoring (RRD)
4. Alertas de Conectividade (Gateways)
5. Plugins de Monitoramento Avançado
6. Integração com Sistemas Externos
7. Notificações e Alertas Automáticos

1) Logs do Sistema e Firewall

Acompanhe eventos de autenticação, DHCP, VPN e principalmente tráfego bloqueado/liberado pelas regras de firewall.

• Onde acessar: Status > System Logs.
• Dica prática: habilite Log packets matched nas regras críticas para entender acessos específicos.

2) Monitoramento de Interfaces (Traffic Graph)

Exibe gráficos em tempo real de uso de banda por interface. Útil para identificar saturação de link ou picos anormais.

• Onde acessar: Status > Traffic Graph.
• Dica: acompanhe interfaces WAN e LAN em paralelo para detectar gargalos.

3) System Activity e Monitoring (RRD)

Use os gráficos RRD para acompanhar uso de CPU, memória, tráfego por interface e latência dos gateways.

• Onde acessar: Status > Monitoring.
• Boas práticas: configure thresholds para identificar quedas ou picos anormais.

4) Alertas de Conectividade (Gateways)

Monitore perda de pacotes e latência. O pfSense gera alertas automáticos e pode acionar failover quando detecta instabilidade.

• Onde acessar: System > Routing > Gateways.
• Dica: ajuste o campo Monitor IP para cada gateway com um endereço confiável (ex.: 8.8.8.8).

5) Plugins de Monitoramento Avançado

Amplie as capacidades do pfSense com pacotes adicionais:

• Darkstat: estatísticas por IP, porta e protocolo.
• BandwidthD: relatórios detalhados de uso de banda por IP.
• ntopng: análise avançada em camada 7, identificando aplicações e conexões.

Onde instalar: System > Package Manager.

6) Integração com Sistemas Externos

Exporte logs via Syslog para servidores externos (ELK, Graylog ou SIEM corporativos). Isso permite centralizar e correlacionar eventos de múltiplos dispositivos da rede.

7) Notificações e Alertas Automáticos

Receba alertas por e-mail ou integrações externas sempre que ocorrerem eventos críticos.

• Onde configurar: System > Advanced > Notifications.
• Uso prático: ser notificado sobre queda de link ou falha de VPN.

Conclusão

O monitoramento é essencial para prevenir incidentes, identificar gargalos e manter a rede estável. O pfSense já oferece recursos nativos poderosos, e com os pacotes certos pode se tornar um verdadeiro painel de visibilidade para administradores de rede.

Perguntas Frequentes

O pfSense substitui um sistema de monitoramento dedicado?

Qual plugin de monitoramento devo instalar primeiro?

Posso enviar logs do pfSense para a nuvem?

Gostou do conteúdo? Compartilhe com sua equipe de TI e continue acompanhando nossos guias sobre pfSense e segurança de redes.

10 Recursos Indispensáveis do pfSense para Redes Seguras

 

O pfSense é uma das plataformas de firewall mais usadas quando o objetivo é unir segurança, flexibilidade e custo‑benefício. Abaixo você encontra os 10 recursos indispensáveis que melhoram a proteção e a disponibilidade da sua rede — com exemplos práticos de onde configurar.

Índice

1. VPN (OpenVPN, IPsec e WireGuard)
2. IDS/IPS (Snort/Suricata)
3. QoS (Limiters & Traffic Shaper)
4. Balanceamento de Carga (Multi‑WAN)
5. Failover Automático
6. Controle de Acesso (Firewall Rules)
7. Captive Portal
8. Filtro de Conteúdo (pfBlockerNG)
9. Proxy e Cache (Squid)
10. Monitoramento e Relatórios

1) VPN: OpenVPN, IPsec e WireGuard

Crie túneis seguros para acesso remoto de colaboradores e site‑to‑site entre filiais. O pfSense suporta nativamente OpenVPN, IPsec e WireGuard.

• Onde configurar: VPN > OpenVPN/IPsec/WireGuard.
• Boas práticas: use autenticação por certificado, PFS, criptografia forte (ex.: AES‑GCM), e split‑tunnel quando fizer sentido.
• Dica rápida: para usuários remotos, habilite Client Export (pacote) e ofereça instaladores prontos.

2) IDS/IPS: Snort ou Suricata

Detecte e bloqueie ameaças em tempo real com Snort ou Suricata. É possível aplicar regras por interface e escolher listas de assinatura (ET Open/Pro, Snort VRT, etc.).

• Onde instalar: System > Package Manager > Available Packages.
• Boas práticas: comece em modo IDS (somente detecção), ajuste false positives e depois ative IPS (bloqueio).
• Dica rápida: ative Home Net corretamente e use policy por perfil (Balanced/Security).

3) QoS: Limiters & Traffic Shaper

Priorize voz, vídeo e aplicações críticas. Use Limiters para controlar banda por fila e o Traffic Shaper para criar queues com prioridade.

• Onde configurar: Firewall > Traffic Shaper e Firewall > Rules (amarrando as filas às regras).
• Boas práticas: descubra a banda real do link e defina queues por aplicação (ex.: VoIP > Alta, Vídeo > Média, Downloads > Baixa).

4) Balanceamento de Carga (Multi‑WAN)

Distribua o tráfego entre múltiplos links para ganhar desempenho e resiliência.

• Onde configurar: System > Routing > Gateway Groups.
• Método comum: defina um Gateway Group com Tier iguais (ex.: Tier 1/1) para balancear.
• Dica rápida: use policy‑based routing nas regras para escolher que tráfego usa o grupo.

5) Failover Automático

Mantenha a rede online quando um link cair. O failover troca automaticamente para o link reserva.

• Onde configurar: em Gateway Groups, use Tier diferentes (ex.: WAN1 Tier 1, WAN2 Tier 2).
• Boas práticas: ajuste Monitor IP para cada gateway e use Trigger Level apropriado (Packet Loss/High Latency).

6) Controle de Acesso Avançado (Firewall Rules)

Crie políticas por rede, host, porta e protocolo. Combine com Aliases para simplificar a gestão.

• Onde configurar: Firewall > Aliases e Firewall > Rules.
• Boas práticas: regra block específica acima da regra allow geral; registre logs nas regras críticas.
• Dica rápida: crie Schedules para limitar acesso por horário.

7) Captive Portal

Autentique usuários em redes Wi‑Fi de hóspedes, coworkings, hotéis e recepções. Integra com vouchers, RADIUS e portal personalizado.

• Onde configurar: Services > Captive Portal.
• Boas práticas: política de privacidade visível, tempo de sessão limitado e walled garden para domínios essenciais.

8) Filtro de Conteúdo e IP Reputation (pfBlockerNG)

Bloqueie domínios maliciosos, anúncios e faixas de IP por país/região. O pfBlockerNG combina DNSBL e listas de IP reputation.

• Onde instalar: System > Package Manager.
• Boas práticas: comece com listas conservadoras e monitore o DNSBL para evitar bloqueios indevidos.

9) Proxy e Cache (Squid)

Melhore o controle sobre HTTP/HTTPS e economize banda com cache. Combine com SquidGuard para categorias de bloqueio.

• Onde instalar: System > Package Manager.
• Boas práticas: use SSL Bump somente onde houver base legal e aceite do usuário. Mantenha certificados em dia.

10) Monitoramento e Relatórios

Ganhe visibilidade com gráficos nativos e pacotes como Darkstat, BandwidthD e integrações com syslog/Prometheus.

• Onde ver: Status > System Activity, Status > Traffic Graph, Status > Monitoring.
• Dica: envie logs para um SIEM/ELK para retenção e correlação.

Checklist Rápido (para aplicar hoje)

1. Instale pfBlockerNG e habilite DNSBL básico.
2. Crie um Gateway Group para failover da sua WAN de backup.
3. Implemente OpenVPN com autenticação por certificado e export de clientes.
4. Ative IDS (Suricata) em modo alert e ajuste falsos positivos.
5. Configure queues de QoS para VoIP/Vídeo.

OPNsense® 25.7

 

Principais novidades e melhorias

Assistente de configuração redesenhado (MVC)
Agora o processo de configuração está mais rápido e consistente, utilizando APIs modernas que simplificam a experiência do usuário.

Modo de interface web mais seguro
A interface pode ser executada sem privilégios de root, aumentando a segurança operacional do sistema.

Painel atualizado (ChartJS 4)
Visualize informações do sistema com gráficos mais precisos e maior desempenho em todos os módulos de monitoramento.

Gerenciador de usuários aprimorado
Inclui suporte para importação e exportação via CSV e novas opções de restrição por rede de origem, tornando o controle de acesso mais simples e eficiente.

Novo plugin de backup SFTP
Backups externos agora podem ser feitos de forma segura e compatível com os padrões atuais, substituindo a antiga integração com Google Drive.

Gerenciamento de alias revisado
Suporte a importação/exportação em JSON, automação otimizada e processamento de regras mais ágil.

Suporte a DHCP duplo
Escolha entre Dnsmasq, ideal para cenários leves, ou Kea DHCP, voltado para ambientes avançados de IPv6 e redes escaláveis.

Serviços VPN modulares
OpenVPN e IPsec foram movidos para plugins opcionais, dando mais flexibilidade na instalação.

Atualização do FreeBSD 14.3
Melhor suporte de hardware, mais desempenho e maior confiabilidade a longo prazo.

Novo suporte ao idioma grego
Mais opções de localização para usuários e equipes internacionais.