Como bloquear sites e controlar o acesso a internet com OPNsense

O problema

Funcionários acessando YouTube, Netflix, redes sociais e sites que não tem nada a ver com trabalho durante o expediente. A internet fica lenta para o sistema e o e-mail, a produtividade cai e o dono da empresa nem sabe por que "a internet está sempre lenta".

Com o OPNsense, você resolve isso em menos de uma hora. E pode fazer de forma granular: bloquear por horário, por grupo de usuários, por categoria de site.

Método 1: Bloqueio por DNS com Unbound (nativo, sem instalar nada)

O OPNsense já vem com o Unbound DNS ativo. Você pode usar ele para bloquear dominios diretamente, sem instalar nenhum plugin.

Bloquear dominios individuais

1. Va em Services > Unbound DNS > Overrides
2. Na aba "Host Overrides", clique no botão "+" para adicionar
3. Preencha: Host: * | Domain: facebook.com | Type: A | IP: 127.0.0.1
4. Salve e repita para cada dominio que quer bloquear

Quando alguém tentar acessar facebook.com, o DNS retorna 127.0.0.1 e a página não carrega. Simples e eficiente.

Lista de dominios para bloquear em empresas

# Redes sociais
facebook.com
instagram.com
twitter.com
x.com
tiktok.com

# Streaming
netflix.com
youtube.com
twitch.tv
primevideo.com

# Jogos
steampowered.com
epicgames.com

# Apostas
bet365.com
betano.com
sportingbet.com

Método 2: Blocklists automaticas com Unbound (mais prático)

Para bloquear categorias inteiras de sites sem cadastrar um por um, ative as blocklists do Unbound:

1. Va em Services > Unbound DNS > Blocklist
2. Marque "Enable" para ativar
3. Selecione as listas que quer usar. As mais uteis para empresas:

• Steven Black's List: bloqueia propagandas, rastreadores e dominios maliciosos. Mais de 80.000 dominios
• Hagezi Multi Normal: lista bem curada que bloqueia ads, trackers e malware sem quebrar sites legitimos
• OISD (Full): outra lista completa de ads e rastreadores

Depois de selecionar as listas, clique em "Apply". O Unbound vai baixar as listas e começar a bloquear automaticamente.

Para adicionar dominios customizados ao bloqueio (como redes sociais especificas), use o campo "Custom blocklist" na mesma tela.

Para liberar um dominio que foi bloqueado por engano, use o campo "Whitelist".

Método 3: Regras de firewall por horário

Quer liberar redes sociais no horário de almoco? Use schedules nas regras de firewall:

1. Va em Firewall > Schedules e crie um schedule chamado "Horário Comercial"
2. Configure: segunda a sexta, 8h as 12h e 13h as 18h
3. Va em Firewall > Aliases e crie um alias do tipo "Host(s)" com os IPs dos sites que quer bloquear por horário
4. Va em Firewall > Rules > LAN e crie uma regra de bloqueio usando o alias + o schedule

Resultado: durante o horário comercial os sites sao bloqueados. No almoco (12h-13h) e depois das 18h, libera automaticamente.

Método 4: Separar redes (VLAN)

A solução mais robusta: criar redes separadas para diferentes usos.

• VLAN 10 (Trabalho): computadores da empresa. Bloqueio de sites, QoS prioritario para o ERP e sistemas
• VLAN 20 (Visitantes): Wi-Fi de visitantes. Acesso limitado a internet, sem acesso a rede interna
• VLAN 30 (Cameras): cameras IP isoladas. Sem acesso a internet, so rede local

No OPNsense, crie as VLANs em Interfaces > Other Types > VLAN. Depois atribua cada VLAN como interface em Interfaces > Assignments. Cada interface recebe suas proprias regras de firewall e servidor DHCP.

Isso também melhora a segurança: um visitante no Wi-Fi não consegue acessar o servidor da empresa, e as cameras ficam isoladas.

Monitoramento: quem acessa o que

Com o OPNsense você tem logs de todo tráfego. As principais ferramentas:

• Firewall > Log Files > Live View: veja em tempo real o que está sendo permitido e bloqueado
• Reporting > Unbound DNS: quais dominios estão sendo consultados e bloqueados
• Reporting > Traffic: gráficos de uso de banda por interface

Esses dados ajudam a entender o comportamento de uso da internet na empresa e ajustar as regras conforme necessário.

Bonus: proteção contra malware e phishing

As blocklists do Unbound não servem só para produtividade. Elas também protegem contra:

• Malware: dominios que distribuem virus e ransomware sao bloqueados antes de chegar no computador
• Phishing: sites falsos de bancos e serviços sao bloqueados no nivel de DNS
• Rastreadores: scripts de tracking de terceiros sao bloqueados, melhorando privacidade e velocidade de navegação

E como ter um antivirus no nivel da rede. Protege todos os dispositivos da empresa sem instalar software em cada um.

Resultado prático

Depois de configurar:

• Internet mais rápida para o que importa (sistema, e-mail, ERP)
• Menos distração durante o expediente
• Proteção contra sites maliciosos e phishing
• Visibilidade total do uso da internet
• Controle granular por rede, horário e categoria
• Sem custo de licença (ao contrario de Fortinet, SonicWall, etc.)

A Blackdog.dev configura OPNsense com regras personalizadas para a realidade da sua empresa. Atendemos Amparo, Jaguariuna, Pedreira e toda a região. Agende um diagnóstico.