Introdução

O pfSense é um dos firewalls open source mais usados por empresas de pequeno e médio porte no Brasil, e por boas razões. Oferece recursos que firewalls proprietários cobram fortunas para disponibilizar: VPN, VLANs, QoS, IDS/IPS, proxy, balanceamento de links e relatórios detalhados de tráfego. Tudo isso em um hardware comum, sem licença cara e com comunidade ativa de suporte.

Mas configurar o pfSense corretamente exige conhecimento técnico. Uma configuração mal feita pode deixar a rede desprotegida, bloquear serviços essenciais ou criar gargalos de performance. Este guia apresenta as principais configurações e boas práticas para empresas em São Paulo que usam ou querem implementar pfSense.

O que é o pfSense e por que é popular em PMEs

O pfSense é uma distribuição de firewall e roteador baseada no FreeBSD, desenvolvida pela Netgate. É open source, gratuito para download e pode ser instalado em hardware comum ou em appliances dedicados. A versão CE (Community Edition) atende perfeitamente a maioria das PMEs.

Para empresas em São Paulo, o pfSense é especialmente atraente porque elimina o custo de licença de firewalls proprietários como Fortinet, Sophos ou Cisco, que podem custar R$ 5.000 a R$ 30.000 por ano. Com pfSense, o custo é o hardware (a partir de R$ 800) e o serviço de configuração e suporte.

Hardware recomendado para pfSense em PMEs

A escolha do hardware determina a capacidade de throughput do firewall, quantos Mbps ele consegue processar sem degradar a performance da rede.

Até 30 usuários e 100 Mbps de internet: appliances como Protectli VP2420 ou hardware com Intel Celeron J4125, 4GB RAM e SSD de 32GB. Custo aproximado: R$ 800 a R$ 1.500.

30 a 80 usuários e até 500 Mbps: Intel Core i3 ou i5 de geração recente, 8GB RAM, SSD de 64GB e pelo menos 4 portas de rede Intel (evite placas Realtek para pfSense, drivers menos estáveis). Custo: R$ 1.500 a R$ 3.500.

Acima de 80 usuários ou com IDS/IPS ativo: hardware mais robusto com CPU potente, 16GB RAM e placas de rede Intel. O Snort ou Suricata (IDS/IPS) consome CPU significativamente, subdimensionar o hardware com IDS ativo causa lentidão.

Configurações essenciais após a instalação

1. Interfaces WAN e LAN. A configuração básica define a interface WAN (conexão com a internet) e LAN (rede interna). Se tiver dois links de internet para redundância, configure a segunda WAN como failover ou load balancing no menu System > Routing > Gateways.

2. Regras de firewall. O pfSense bloqueia todo tráfego por padrão na WAN e permite tudo na LAN. Para uma PME, as regras mínimas recomendadas são:

Bloquear acesso à interface de administração do pfSense pela WAN
Criar regras explícitas para serviços que precisam ser acessados externamente (servidor de e-mail, VPN)
Bloquear acesso de dispositivos IoT (câmeras, catracas) para a internet diretamente
Registrar (log) tentativas de conexão bloqueadas para auditoria

3. VLANs. Configure VLANs para segmentar a rede: uma para usuários corporativos, uma para servidores, uma para visitantes/Wi-Fi e uma para IoT. No pfSense, VLANs são criadas em Interfaces > Assignments > VLANs e depois configuradas como interfaces separadas com suas próprias regras de firewall.

4. DHCP por VLAN. Cada VLAN deve ter seu próprio range de endereços IP e servidor DHCP configurado no pfSense. Isso garante que dispositivos de VLANs diferentes não se comuniquem acidentalmente.

5. DNS Resolver. Configure o Unbound DNS Resolver do pfSense com DNS over TLS para criptografar as consultas DNS e evitar que o provedor monitore os domínios acessados pela empresa. Use servidores como Cloudflare (1.1.1.1) ou Quad9 (9.9.9.9) como upstream.

Configurando VPN no pfSense

A VPN permite que colaboradores em home office ou filiais acessem a rede da empresa com segurança. O pfSense suporta múltiplos protocolos de VPN.

OpenVPN, recomendado para acesso remoto de usuários: protocolo mais usado para acesso remoto individual. Cada usuário recebe um certificado único. A configuração usa o assistente do pfSense (VPN > OpenVPN > Wizards) e exporta os arquivos de configuração para cada usuário via pacote openvpn-client-export.

IPsec, recomendado para site-to-site: para conectar duas filiais permanentemente, o IPsec cria um túnel fixo entre os dois pfSense. Mais eficiente que OpenVPN para conexões permanentes de alto volume.

WireGuard, alternativa moderna e rápida: protocolo mais recente, mais simples de configurar e com melhor performance que OpenVPN. Disponível no pfSense como pacote adicional. Recomendado para novos projetos.

QoS, priorizando tráfego crítico

Quality of Service garante que videoconferências, VoIP e sistemas ERP recebam banda suficiente mesmo quando outros usuários estão fazendo downloads pesados.

No pfSense, QoS é configurado via ALTQ (Traffic Shaper) ou HFSC. A configuração básica para PMEs cria filas de prioridade:

Fila alta: tráfego de VoIP (porta 5060/5061) e videoconferência (Teams, Zoom, Meet)
Fila média: tráfego de sistemas ERP e e-mail corporativo
Fila baixa: streaming, downloads e navegação geral

Com QoS configurado, mesmo com a internet saturada, as chamadas de voz e vídeo mantêm qualidade adequada.

Monitoramento e relatórios

O pfSense tem ferramentas nativas de monitoramento que ajudam a identificar problemas e auditar o uso da rede.

Status > Traffic Graph: visualização em tempo real do tráfego por interface. Útil para identificar picos de uso e dispositivos consumindo banda excessiva.

Diagnostics > Packet Capture: captura de pacotes para diagnóstico avançado de problemas de rede.

Pacote ntopng: para análise detalhada de tráfego por usuário, protocolo e destino. Gera relatórios de uso que podem ser compartilhados com gestores.

Pacote Snort ou Suricata: IDS/IPS que detecta e bloqueia tentativas de invasão, malware e tráfego suspeito em tempo real.

Boas práticas de segurança no pfSense

Altere a porta padrão de administração web (443) para outra porta
Crie usuário administrativo com nome diferente de "admin"
Habilite autenticação de dois fatores para acesso à interface de administração
Mantenha o pfSense sempre atualizado, atualizações de segurança são críticas
Faça backup da configuração regularmente (Diagnostics > Backup & Restore)
Documente todas as regras de firewall com descrições claras
Revise periodicamente as regras para remover acessos não mais necessários

Como a Accertiva implementa pfSense para empresas em São Paulo

A Accertiva configura e gerencia pfSense para PMEs em São Paulo: projeto de rede, seleção de hardware, configuração completa com VLANs e VPN, implementação de QoS, monitoramento contínuo e suporte técnico com SLA garantido.

Saiba mais sobre Segurança e continuidade para empresas, Firewall gerenciado: primeira linha de defesa e pfSense vs Mikrotik: qual escolher?.

Perguntas frequentes sobre pfSense para empresas

pfSense é seguro para uso corporativo?

Sim. O pfSense é usado por milhares de empresas e organizações no mundo todo, incluindo hospitais, universidades e órgãos governamentais. A segurança depende da configuração correta, um pfSense mal configurado é tão inseguro quanto qualquer outro firewall mal configurado.

pfSense funciona com qualquer provedor de internet?

Sim. O pfSense suporta PPPoE, DHCP e IP fixo, os modos de conexão usados pela maioria dos provedores brasileiros. Também suporta múltiplos links simultâneos de provedores diferentes.

Qual a diferença entre pfSense CE e pfSense Plus?

O pfSense CE (Community Edition) é open source e gratuito, adequado para a maioria das PMEs. O pfSense Plus é a versão comercial da Netgate com suporte oficial, atualizações prioritárias e alguns recursos adicionais. Para ambientes críticos com SLA exigente, o Plus pode ser justificável.

Preciso de técnico especializado para configurar pfSense?

Sim, para configuração corporativa adequada. A interface web do pfSense é acessível, mas configurar VLANs, VPN, QoS e regras de firewall de forma correta e segura exige conhecimento técnico em redes. Uma configuração incorreta pode deixar a rede vulnerável ou bloquear serviços essenciais.

pfSense para empresas em São Paulo: guia de configuração e boas práticas