Converse com seu Firewall: Consulte OPNsense com ferramentas como Claude Code usando MCP
Fale com seu Firewall: Consulte OPNsense a partir de ferramentas como Claude Code com MCP
Se você executa OPNsense em casa ou em um laboratório, provavelmente perdeu tempo com o mesmo ritual: SSH, execute pfctl -sr, role pelas concessões DHCP ou tcpdump um host suspeito. Não é difícil — é apenas atrito.
E se você pudesse perguntar ao Claude Code "quem está na minha rede agora?" e obter uma resposta clara sem abrir um terminal?
É isso que opnsense-mcp faz. É um servidor de Protocolo de Contexto de Modelo (MCP) que expõe seu firewall OPNsense como um conjunto de ferramentas que qualquer cliente MCP pode chamar — permaneça no seu editor, sem troca de contexto de terminal.
O Que Você Pode Perguntar
Com opnsense-mcp conectado, perguntas em linguagem natural se tornam consultas reais ao firewall:
- "O que está acontecendo na rede?" → Tabela ARP + concessões DHCP ativas
- "Mostre-me as últimas 20 conexões bloqueadas" → Log de firewall filtrado
- "Quem é 192.168.1.47?" → MAC, nome do host, status da concessão, interface
- "Capture pacotes desse host por 30 segundos" → Captura de pacotes + link para download
- "Liste minhas regras de firewall para a porta 443" → Pesquisa de regras com descrições
O servidor se comunica com OPNsense através de sua API REST nativa, então as respostas são ao vivo e você permanece no seu editor.
Início Rápido
Você precisa de uma chave de API OPNsense. Gere uma em Sistema → Acesso → API.
git clone https://github.com/coreyhines/opnsense-mcp
cd opnsense-mcp
uv venv && source .venv/bin/activate
uv pip install -r requirements.txt
cp examples/.env.example .env
# Edite .env com sua chave de API, segredo e host do firewall
Opção A: STDIO (Claude Code / Cursor local)
{
"mcpServers": {
"opnsense-mcp": {
"command": "/bin/bash",
"args": ["/absolute/path/to/opnsense-mcp/mcp_start.sh"],
"cwd": "/absolute/path/to/opnsense-mcp"
}
}
}
Opção B: SSE (serviço compartilhado)
sudo bash deploy/install.sh # Podman + Caddy TLS
# Clientes apontam para https://your-host/sse
Uma Sessão Real
Veja como é na prática:
Você: "Mostre-me as concessões DHCP para dispositivos chamados 'desktop'"
Claude: (chama a ferramenta
dhcp)Hostname: desktop-lab, IP: 192.168.10.45, MAC: aa:bb:cc:dd:ee:ff Status: ativo, Concessão expira: 2026-05-12 08:00Você: "Algum bloqueio nos últimos 10 minutos?"
Claude: (chama
get_logscom filtro de tempo)2026-05-11 18:12:34 BLOQUEIO 10.0.0.55:443 -> 192.168.1.0/24:443 (TCP) Regra: Negar padrão / Interface: WAN
Sem mergulho no terminal. Sem troca de contexto. Apenas perguntas e respostas.
Por Que Eu Fiz Isso
Eu gerencio várias instâncias do OPNsense e fiquei cansado de trocar de contexto entre terminais, painéis da web e meu editor. O MCP permite que o cliente de IA cuide do trabalho mecânico — formatando tabelas, filtrando logs, correlacionando ARP com DHCP — enquanto eu me concentro na decisão real.
O servidor é intencionalmente restrito: ele não escreve regras a menos que você peça, e registra o que toca. Você pode executá-lo localmente (STDIO) ou hospedá-lo como um endpoint SSE compartilhado para uma equipe.
Obtenha-o
- GitHub: coreyhines/opnsense-mcp
- Glama: glama.ai/mcp/servers/coreyhines/opnsense-mcp
-
Requisitos: Python 3.11+, chave de API OPNsense,
uvoupip
Se você experimentar, abra um problema ou PR — quero saber quais fluxos de trabalho ele desbloqueia para você.
Tem uma caixa OPNsense no seu homelab? Dê-lhe uma voz.
A implementação do opnsense-mcp pode otimizar a administração de redes em empresas brasileiras, permitindo que profissionais façam consultas diretas ao firewall. Isso reduz a fricção no gerenciamento de redes e melhora a eficiência operacional.
