Firewall • Redes • NAT • DHCP • Blue Team
Implementação do pfSense CE 2.8.1 como VM no VMware Workstation — criando uma camada de firewall real entre a WAN e a LAN do laboratório, com segmentação de rede, regras de acesso, NAT e DHCP configurados na prática.
Interfaces configuradas
Índice
Sobre o laboratório
O pfSense é uma distribuição open source de firewall e roteador baseada no FreeBSD, amplamente utilizada em ambientes corporativos e domésticos. Ele oferece interface web completa para gerenciamento de regras, NAT, DHCP, VPN e muito mais — sem necessidade de conhecimento avançado em linha de comando.
Neste laboratório, o pfSense foi implementado como VM no VMware Workstation com duas interfaces de rede — WAN e LAN — criando uma segmentação real entre a rede externa e a rede interna do laboratório. Isso adiciona uma camada de controle e visibilidade ao ambiente, complementando o Wazuh SIEM, Suricata IDS e CrowdSec já configurados.
Especificações
Community Edition mais recente, build amd64 de 20260513. Rodando sobre FreeBSD com hostname soc-fw01.home.lab — nome que reflete o papel de firewall do SOC.
Máquina virtual dedicada no VMware Workstation com 3.9 GB de RAM, 2 CPUs e 20 GB de disco — recursos suficientes para um firewall de laboratório com inspeção de tráfego ativa.
Interface em0 conectada ao VMnet8, recebendo IP via DHCP da rede física do laboratório — x.x.x.x/24, mesma subnet do Kali e Ubuntu Server.
Interface em1 conectada ao VMnet1, com IP estático x.x.x.x/24 — gateway da rede interna do laboratório, subnet isolada da WAN.
Topologia
O pfSense cria uma fronteira real entre duas redes — a WAN (x.x.x.0/24), onde vivem o Kali Linux e o Ubuntu Server, e a LAN (x.x.x.0/24), a rede interna protegida pelo firewall. Todo tráfego entre as subnets passa pelo pfSense.
Windows 11, i7-10700T, 32 GB RAM. Roda o VMware Workstation com todas as VMs do laboratório.
WAN: x.x.x.x (VMnet8) — LAN: x.x.x.x (VMnet1). Gateway e firewall entre as duas redes.
Endpoint na WAN com Suricata IDS, CrowdSec e agente Wazuh. Acessa a LAN via pfSense conforme as regras configuradas.
Wazuh Manager, Dashboard, Indexer e Filebeat na WAN. Recebe eventos e logs de toda a infraestrutura do laboratório.
Rede interna protegida pelo pfSense. Dispositivos nesta subnet dependem do pfSense como gateway e têm o tráfego filtrado pelas regras de firewall.
Processo de implementação
Criação da VM pfSense-CE no VMware Workstation com 3.9 GB RAM, 2 vCPUs, 20 GB de disco e duas interfaces de rede: VMnet8 (WAN) e VMnet1 (LAN).
Instalação do pfSense Community Edition 2.8.1 (amd64, build 20260513) com hostname soc-fw01.home.lab. Boot completo confirmado via console.
Atribuição das interfaces via console: em0 como WAN com DHCP e em1 como LAN com IP estático.
Acesso ao painel de administração do pfSense via browser na LAN para configuração de regras, NAT, DHCP e monitoramento.
Criação de regras de firewall nas interfaces WAN e LAN para controlar o tráfego entre as redes — definindo quais conexões são permitidas e quais são bloqueadas.
Configuração de Network Address Translation para permitir que dispositivos da LAN acessem a WAN, traduzindo endereços internos para o IP da interface WAN.
Ativação do servidor DHCP na interface LAN para distribuição automática de endereços IP aos dispositivos da rede interna.
Configuração do pfSense para envio de logs de firewall e sistema via syslog para o Wazuh Manager, integrando eventos do firewall ao SIEM centralizado.
Etapa 01
O pfSense é baseado em FreeBSD — por isso a VM foi criada com o tipo "FreeBSD 64-bit" no VMware, o que garante as configurações padrão corretas de hardware virtual.
RAM: 3.9 GB — suficiente para o firewall com inspeção de estado ativa.
CPUs: 2 vCPUs — para processar regras e NAT sem gargalo.
Disco: 20 GB — espaço para o sistema, logs e configurações.
NICs: 2 interfaces — VMnet8 (WAN) e VMnet1 (LAN).
O pfSense precisa de pelo menos duas interfaces para funcionar como firewall: uma para receber tráfego externo (WAN) e outra para distribuir para a rede interna (LAN). Sem isso, não há separação de redes — que é exatamente o objetivo do lab.
Etapa 02
A ISO foi baixada do site oficial da Netgate (fabricante do pfSense). A versão Community Edition é gratuita e inclui todas as funcionalidades necessárias para o laboratório.
A instalação via console é guiada — Accept, Install, Auto (UFS), Reboot. O pfSense não tem instalação gráfica; tudo é feito via menu de texto. Após o primeiro boot, o console exibiu as interfaces detectadas e o menu principal confirmando que o sistema estava pronto.
O hostname foi definido durante a configuração inicial para refletir o papel do dispositivo no laboratório — soc-fw01 indica o primeiro firewall do ambiente SOC, e home.lab é o domínio interno do laboratório.
Etapa 03
A primeira configuração importante do pfSense é atribuir quais interfaces físicas serão WAN e LAN. Isso é feito via menu do console — opção 1 (Assign Interfaces).
em0 → WAN: conectada ao VMnet8, recebe IP via DHCP da rede física do laboratório. É a interface "externa" do firewall.
em1 → LAN: conectada ao VMnet1, configurada com IP estático como gateway da rede interna. É a interface "interna" pela qual os clientes da LAN acessam a internet.
Após a atribuição, o console exibiu o status das interfaces com os IPs confirmados — WAN com IP do DHCP da rede física e LAN com o IP estático configurado manualmente via opção 2 do menu.
Etapa 04
Com as interfaces configuradas, o pfSense já serve a WebGUI pelo IP da LAN. O acesso é feito de qualquer dispositivo na rede LAN abrindo o browser e digitando o IP do pfSense.
O browser exibe um aviso de certificado autoassinado — normal para um ambiente interno. Após aceitar, a tela de login do pfSense aparece. Credenciais padrão: admin / pfsense. A senha foi alterada imediatamente no primeiro acesso.
O pfSense exibe um wizard de configuração inicial no primeiro login — hostname, DNS, timezone, senha do admin. Após o wizard, o dashboard principal exibe o status das interfaces, tráfego em tempo real e alertas do sistema.
Etapa 05
As regras de firewall são o coração do pfSense. Elas definem o que pode ou não passar entre as interfaces — avaliadas de cima para baixo, a primeira regra que casar é aplicada.
Por padrão o pfSense cria uma regra na LAN que permite todo tráfego de saída — qualquer dispositivo da LAN consegue acessar a WAN. Essa regra foi mantida para o laboratório e refinada conforme necessário.
Na WAN, o comportamento padrão é bloquear tudo que chega da internet sem ter sido iniciado por alguém na LAN. O firewall stateful do pfSense rastreia as conexões — respostas a conexões iniciadas internamente passam automaticamente.
Etapa 06
O NAT Outbound foi configurado no modo automático — o pfSense gera automaticamente as regras de mascaramento para qualquer rede LAN cadastrada. Isso permite que todos os dispositivos da LAN saiam pela WAN usando o IP público do pfSense.
Quando um dispositivo da LAN faz uma requisição para a internet:
1. O pfSense recebe o pacote com IP de origem da LAN
2. Substitui o IP de origem pelo IP da interface WAN
3. Registra a tradução na tabela de estados
4. Quando a resposta volta, entrega ao dispositivo correto da LAN
Etapa 07
O servidor DHCP do pfSense distribui IPs automaticamente para os dispositivos da rede LAN. É configurado em Services → DHCP Server → LAN.
Range: faixa de IPs disponíveis para distribuição automática.
Gateway: aponta para o próprio pfSense (IP da interface LAN).
DNS: servidor DNS configurado para resolução de nomes.
Lease time: tempo de validade do IP atribuído — padrão 24 horas.
Para dispositivos que precisam sempre do mesmo IP (servidores do laboratório), foram criadas reservas DHCP — associando um MAC específico a um IP fixo. Combina a praticidade do DHCP com a previsibilidade do IP estático.
Etapa 08
O pfSense pode enviar seus logs para um servidor remoto via protocolo Syslog — o padrão da indústria para envio de logs de rede. O Wazuh Manager recebe esses logs e os processa como eventos de segurança.
Em Status → System Logs → Settings, a opção "Enable Remote Logging" foi ativada com o IP do servidor Wazuh e porta UDP 514. Os tipos de log habilitados: Firewall Events, System Events e Authentication.
Com o syslog configurado, cada pacote bloqueado pelo firewall, cada login na WebGUI e cada evento do sistema do pfSense é enviado em tempo real ao Wazuh Manager, que os correlaciona com os eventos dos outros laboratórios no dashboard centralizado.
Configurações aplicadas
O pfSense oferece uma interface web completa para gerenciamento de todas as funcionalidades. As configurações abaixo foram aplicadas no laboratório para criar um ambiente de firewall funcional e integrado ao ecossistema de segurança.
Regras criadas nas interfaces WAN e LAN controlando o fluxo de tráfego entre as redes. LAN com acesso permitido à WAN; WAN com acesso restrito à LAN conforme necessidade.
NAT de saída configurado para permitir que dispositivos da LAN (x.x.x.0/24) acessem a internet e a WAN usando o IP da interface externa do pfSense.
Servidor DHCP ativo na interface LAN distribuindo endereços IP automaticamente na faixa x.x.x.0/24, com pfSense como gateway e DNS para os clientes da rede interna.
Logs do sistema e do firewall configurados para envio remoto via syslog ao Wazuh Manager, permitindo visibilidade centralizada de eventos de firewall no dashboard do SIEM.
Integração com o ecossistema
O pfSense não opera isolado — ele é a camada de controle de rede que conecta e protege todo o ambiente. A integração com as outras ferramentas do laboratório cria um pipeline de visibilidade e defesa em camadas.
Define quais conexões entram e saem da rede interna. Primeira linha de defesa do laboratório — filtrando tráfego antes de chegar aos endpoints.
Analisa o tráfego que passa pela rede do laboratório detectando ameaças em nível de pacote — complementando as regras de firewall do pfSense com detecção baseada em assinaturas.
Detecta padrões maliciosos nos logs de aplicação e sistema — camada complementar ao firewall com inteligência colaborativa.
Recebe os logs de firewall do pfSense via syslog, integrando eventos de rede ao SIEM junto com alertas do Suricata, CrowdSec e agentes dos endpoints.
Competências desenvolvidas
Configuração de regras de firewall stateful no pfSense — criando políticas de allow/deny por interface, protocolo e porta para controlar o fluxo de tráfego entre WAN e LAN.
Configuração de NAT Outbound para tradução de endereços, permitindo que a rede interna acesse recursos externos usando o IP da WAN do pfSense como saída.
Criação de duas subnets isoladas — WAN e LAN — com pfSense como ponto de controle, aplicando na prática o conceito de segmentação de rede.
Configuração de servidor DHCP na LAN para distribuição automática de IPs, gateway e DNS — compreendendo o processo DORA na prática dentro de um ambiente real.
Configuração de syslog remoto para envio de logs do pfSense ao Wazuh Manager, integrando eventos de firewall ao pipeline centralizado de monitoramento de segurança.
Construção de defesa em camadas combinando pfSense (perímetro), Suricata (rede), CrowdSec (comportamento) e Wazuh (SIEM) — arquitetura de segurança multicamada real.
Resultados
Evidências
Evidências do pfSense em funcionamento — console com as interfaces configuradas e a VM no VMware Workstation. Prints da interface web serão adicionados em breve.
Prints da interface web (WebGUI) serão adicionados em breve.
Dashboard, regras de firewall, NAT, DHCP e logs do sistema.
Próximos passos
Configurar um servidor OpenVPN ou WireGuard no pfSense para acesso remoto seguro ao laboratório, criando um túnel criptografado entre o host externo e a LAN.
Integrar o Suricata diretamente no pfSense como IDS/IPS inline — inspecionando o tráfego que passa pelo firewall em vez de monitorar apenas no endpoint Kali.
Implementar segmentação por VLANs no pfSense, criando redes lógicas separadas para diferentes categorias de dispositivos dentro do laboratório.
Repositório GitHub do laboratório pfSense com configurações, notas técnicas e evidências do ambiente virtualizado.
Ver no GitHub →Conclusão
O pfSense fecha o ciclo de defesa em camadas do laboratório — adicionando controle de perímetro ao ecossistema formado por Wazuh, Suricata, CrowdSec e Wireshark. Com WAN, LAN, firewall, NAT, DHCP e integração via syslog, o ambiente simula uma infraestrutura de segurança real em escala reduzida.