FreeBSDBSD

OPNsense 26.1 “Witty Woodpecker” lançado: Veja as novidades e correções

O firewall open source fica mais inteligente: Suricata 8, automação via API e a grande migração do DHCP.

Escrito por
Emanuel Negromonte
PorEmanuel Negromonte
Emanuel Negromonte é Jornalista, Mestre em Tecnologia da Informação e atualmente cursa a segunda graduação em Engenharia de Software. Com 14 anos de experiência escrevendo sobre...
Follow:
1g2fvR4r opnsense
  • Adeus ISC-DHCP: O antigo servidor DHCP entra em modo de legado. Novas instalações agora usam Dnsmasq por padrão, forçando administradores a repensarem suas estratégias de rede.
  • Suricata 8 "Inline": O sistema de prevenção de intrusões (IPS) ganha o modo divert, prometendo bloquear ameaças com muito menos impacto na CPU.
  • Mudança de Nomenclatura: Acostumado com "Port Forward"? O nome mudou para Destination NAT para se adequar à nova estrutura de API MVC.
  • Hostwatch Nativo: Agora o firewall monitora ativamente dispositivos conectados via ARP/NDP, facilitando a auditoria da rede sem depender de logs de DHCP.
  • IPv6 Descomplicado: Novo modo "Identity Association" permite separar a solicitação de prefixo da configuração do roteador, resolvendo dores de cabeça com provedores (ISPs) chatos.

O OPNsense é um sistema de firewall e roteamento de código aberto baseado no FreeBSD (um “primo” robusto do Linux), amplamente utilizado para proteger redes domésticas e corporativas. Ele é um fork do pfSense, focado em oferecer uma interface mais limpa, atualizações frequentes e recursos de segurança modernos. A versão 26.1, codinome “Witty Woodpecker” (Pica-pau Espirituoso), marca o início do ciclo de 2026 com mudanças estruturais profundas na forma como o firewall gerencia regras e serviços básicos como DHCP.

Principais novidades

Nova Era para o Firewall (MVC/API)

A equipe do OPNsense continua sua missão de modernizar a interface antiga (herdada do pfSense) para o novo padrão MVC (Model-View-Controller). Na prática, isso significa que a criação de regras de firewall e NAT está mais rápida, consistente e, crucialmente, acessível via API para automação.

Atenção: O antigo “Port Forward” foi renomeado para “Destination NAT” para se alinhar à terminologia técnica correta.

Suricata 8 com modo “Divert”

O sistema de detecção de intrusão (IDS/IPS) foi atualizado para o Suricata 8. A grande novidade é o suporte ao modo de inspeção inline usando divert. Isso permite que o firewall analise e bloqueie pacotes maliciosos com muito mais eficiência e menos “gargalos” de performance do que os métodos antigos.

Mudança de Guarda no DHCP

Este é o ponto mais crítico: o venerável ISC-DHCP (o servidor que distribui IPs na sua rede) chegou ao fim da vida útil (EOL). O OPNsense 26.1 agora define o Dnsmasq como padrão para novas instalações. O Kea DHCP continua sendo a alternativa robusta para ambientes complexos.

Melhorias no IPv6

Se você luta com IPv6, há boas notícias. Foi adicionado um novo modo chamado “Identity association”, que separa a solicitação de prefixo da automação do DHCPv6/Radvd. Isso resolve dores de cabeça de interoperabilidade para quem usa configurações avançadas de provedor.

Impacto e repercussão (O que descobrimos)

O “Pânico” do DHCP é justificado?

Investigando fóruns e o Reddit, notamos que a mudança do DHCP gerou ansiedade. Acalme-se: Se você atualizar de uma versão anterior, o OPNsense instalará automaticamente o plugin do ISC-DHCP para manter tudo funcionando. A migração não é forçada agora, mas é um sinal claro para começar a testar o Dnsmasq ou Kea em seu laboratório, pois o ISC-DHCP será removido no futuro.

Recepção da Comunidade

Usuários relatam que a atualização via console pode apresentar um glitch visual onde o changelog não aparece, mas o processo funciona. A performance da nova interface de logs (Live View) está sendo elogiada por ser visivelmente mais ágil. No entanto, cuidado com regras “Flutuantes” (Floating): a nova UI pode reclassificar visualmente regras que se aplicam a uma única interface, o que confundiu alguns administradores veteranos.

Ferramenta “Hostwatch”

Uma adição silenciosa mas poderosa é o serviço hostwatch, agora ativo por padrão. Ele cria um banco de dados de dispositivos conectados (ARP/NDP), permitindo uma visão muito mais clara de “quem está na minha rede” sem precisar vasculhar logs de DHCP.

Resumo técnico

  • Core: Baseado no FreeBSD 14 (HardenedBSD) com patches de estabilidade.
  • Firewall: Regras de automação e NAT (Source/Destination) migradas para o framework MVC.
  • Network: Suporte a divert-to na nova GUI de regras.
  • Serviços: radvd (IPv6 Router Advertisement) migrado para MVC/API.
  • Segurança: Removido suporte a configurações custom.yaml antigas no Suricata (migre para conf.d).
  • Hardware: Correção no trim para SSDs (substituição de camcontrol por diskinfo).
  • API: Novos endpoints para gerenciamento de NAT e Interfaces, facilitando IaC (Infrastructure as Code).

Disponibilidade

A atualização 26.1 já está disponível nos espelhos oficiais.

  • Para quem já usa: Vá em System > Firmware > Status e clique em “Check for updates”. O caminho de upgrade da versão 25.7 foi liberado em 29 de janeiro.
  • Nova instalação: Imagens ISO e VGA podem ser baixadas no site oficial do OPNsense.

Dica de Especialista: Antes de atualizar, faça um backup completo (XML). Se você usa muitos plugins de terceiros (como AdGuard Home via repositório comunitário), verifique a compatibilidade antes de clicar no botão de upgrade.

TAGS:
Compartilhe este artigo
Distribuições LinuxLinux

FydeOS v22 lançado: Base Chromium r144, drivers open-source e fim do Steam

JC3uFXb3 v22 lancamento novidades steam removido

FydeOS v22: Performance Open-Source, Privacidade Total e o Adeus ao Steam.

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto