---
title: "Quando o filho falsifica o MAC para burlar o wifi"
description: "A falsificação de MAC passa um aparelho pelas regras de wifi por dispositivo. Por que o conserto é o filtro no aparelho que viaja, não uma regra de roteador melhor."
url: https://tkot.com/journal/quando-o-filho-falsifica-o-mac-para-burlar-o-wifi/
canonical: https://tkot.com/journal/quando-o-filho-falsifica-o-mac-para-burlar-o-wifi/
author: "Arya Stark"
published: 2026-06-10
updated: 2026-06-10
category: "Loopholes"
tags: ["falsificação de mac", "filtro de wifi", "pais", "portas laterais", "bloquear pornografia"]
lang: pt-br
---

# Quando o filho falsifica o MAC para burlar o wifi

> **TL;DR** A falsificação de MAC address e a troca de adaptador derrotam regras de roteador que miram num aparelho específico, porque um MAC mudado parece um aparelho novo para o qual a regra nunca foi escrita. Caçar isso no roteador é uma corrida armamentista perdida. O conserto durável é filtrar de um jeito que não dependa de identificar o aparelho pelo MAC: bloqueio no aparelho que viaja com o celular, mais regras de rede que filtram todo o tráfego em vez de por dispositivo. Para um adolescente determinado, isto é uma camada mais uma conversa.

Se você define regras de wifi que miram no aparelho específico do seu filho, um adolescente com jeito para a coisa tem uma resposta limpa: mudar o MAC address do aparelho, o identificador de hardware que o roteador usa para reconhecê-lo, e para o roteador ele vira um aparelho diferente para o qual a sua regra nunca foi escrita. Trocar o adaptador de rede faz o mesmo num computador. Caçar isso no roteador, bloqueando cada MAC novo conforme ele aparece, é uma corrida que você perde, porque falsificar um novo leva segundos. O conserto de verdade é parar de identificar o aparelho e filtrar de um jeito que não se importa com qual MAC aparece, que é o que o bloqueio no aparelho e a filtragem da rede inteira fazem, a abordagem por trás da [TKO'T](/#download) nos aparelhos que ela cobre, de graça. Defesa apenas, nomeando o truque só para fechá-lo.

## Por que regras de roteador por dispositivo perdem

Muitos roteadores deixam você aplicar regras a um aparelho nomeado, identificado pelo MAC address. Essa conveniência é a fraqueza: o MAC é mudável por software, então uma regra amarrada a ele é uma regra amarrada a uma etiqueta que o usuário pode reescrever. É o [padrão de enxugar gelo](/journal/o-mapa-completo-das-portas-laterais) na forma de rede, todo identificador bloqueado é trocado por um novo, e você não vence colecionando identificadores. Você vence não dependendo do identificador.

## Meu filho muda o MAC address para burlar o wifi: o que fazer

Quando o seu filho muda o MAC address, a resposta é parar de mirar no aparelho e filtrar de um jeito que a etiqueta dele não importa, em duas frentes. A primeira é a filtragem da rede inteira, não por dispositivo: defina o DNS de filtro no nível do roteador para a rede toda em vez de regras por aparelho, para todo aparelho no wifi ser filtrado não importa o MAC, e um endereço falsificado ainda receber o [resolvedor de família](https://developers.cloudflare.com/1.1.1.1/setup/) da rede. O spoof muda a etiqueta, não a rede em que o aparelho está. Trave a página de admin do roteador para o próprio DNS ficar no lugar, a mesma [disciplina de credencial guardada](/journal/travar-o-roteador-e-a-rede-de-casa) de sempre.

A segunda frente, e a mais forte para o celular do filho, é a filtragem que mora no aparelho, não na rede: um [perfil gerenciado](https://developers.google.com/android/management/reference/rest/v1/enterprises.policies) com DNS e regras de conteúdo no aparelho se aplica não importa em qual rede o celular está nem qual MAC ele apresenta, porque o filtro está no celular, não amarrado à visão que um roteador tem dele. Isso também fecha o escape relacionado de [trocar para os dados móveis](/journal/fechar-o-bypass-dos-dados-moveis-e-do-hotspot), que o spoofing costuma acompanhar. A política gerenciada pode ainda restringir mudar os ajustes de rede no aparelho.

## Filtrar para a identidade do dispositivo não importar

Junte as duas frentes e a lógica fica simples: o problema é que o seu filtro estava perguntando "quem é este aparelho?", e essa pergunta tem uma resposta que o usuário pode trocar. As duas correções param de fazer a pergunta. A filtragem da rede inteira pergunta "este tráfego está passando pela minha rede?", o que vale para todo aparelho, com MAC verdadeiro ou falso. A filtragem no aparelho pergunta "o que este celular está tentando carregar?", o que vale em qualquer rede, com [DNS cifrado](https://datatracker.ietf.org/doc/html/rfc8484) ou não. Nenhuma das duas depende do identificador, então falsificá-lo deixa de comprar qualquer coisa.

É a mesma razão pela qual a defesa no aparelho vence a defesa na rede em geral: a rede só vê o tráfego que passa por ela, e um identificador que ela pode ser enganada a aceitar; o aparelho vê o que ele mesmo está fazendo, e viaja junto. Onde a rede é frágil por depender de uma etiqueta, o aparelho é firme por não depender de nenhuma.

## A conversa honesta com o filho

Seja direto sobre o que o spoofing te diz: um filho que falsifica MAC address é tecnicamente capaz e muito motivado, e nesse nível nenhum controle puramente técnico num aparelho que ele segura nas mãos é à prova de tudo, as rotas do DNS cifrado e do segundo aparelho continuam. A filtragem da rede inteira mais um perfil gerenciado no aparelho fecha as versões fácil e intermediária, o que cobre a maioria das situações, mas para um adolescente determinado e habilidoso a camada técnica compra tempo e aumenta o custo, ela não substitui a conversa. Isso não é uma falha das ferramentas; é o limite honesto de qualquer controle contra alguém esperto que mora na casa, e é por que o setup de família mais amplo junta a parede com a confiança em vez de confiar só na parede.

## Perguntas frequentes (FAQ)

### Meu filho falsifica o MAC address para burlar o filtro de wifi. O que posso fazer?

Pare de usar regras de roteador por dispositivo, que um MAC mudado derrota, e filtre a rede inteira para todo aparelho receber o DNS de filtro não importa o MAC, depois some filtragem no aparelho por um perfil gerenciado no celular do filho para o bloqueio viajar até fora do wifi. Trave a página de admin do roteador para o DNS ficar no lugar. A TKO'T roda esse modelo no Mac e no iPhone; some uma conversa direta, que as ferramentas apoiam mas não substituem.

### Por que mudar o MAC address burla meu filtro?

Porque um filtro que mira num aparelho específico o identifica pelo MAC address, e o MAC é mudável por software, então um novo parece um aparelho novo em folha para o qual a sua regra nunca foi escrita. O conserto é filtrar de um jeito que não dependa da identidade do aparelho, DNS da rede inteira que cobre todo aparelho, e filtragem no aparelho que viaja com o celular. O identificador nunca foi a coisa certa para amarrar a regra.

### Como filtrar o wifi para todos os dispositivos, não importa o MAC address?

Defina o DNS de filtro no nível do roteador para a rede inteira em vez de escrever regras por dispositivo, para todo aparelho conectado, inclusive um com MAC falsificado, receber o resolvedor de família da rede. Trave a página de admin do roteador para o DNS não poder ser revertido. Isso remove a etiqueta por dispositivo como alvo, já que o filtro se aplica a todo o tráfego da rede em vez de a aparelhos nomeados.

### O filtro no aparelho impede a falsificação de MAC?

Ele torna a falsificação irrelevante em vez de impedi-la: a filtragem no aparelho mora no celular e se aplica não importa qual MAC ele apresenta nem qual rede ele entra, então mudar o MAC não muda nada na parede do aparelho. Um perfil gerenciado é a versão durável porque o filho não consegue removê-lo; a TKO'T roda esse modelo no Mac e no iPhone, de graça, e cobre também as rotas de dados móveis e de outra rede que o spoofing costuma acompanhar.

### Um adolescente técnico e determinado ainda contorna tudo isso?

Honestamente, um adolescente muito habilidoso e motivado com acesso físico continua achando rotas, DNS cifrado, um segundo aparelho, e nenhum controle puramente técnico é à prova disso. A filtragem da rede inteira mais um perfil gerenciado no aparelho fecha as versões fácil e intermediária, o que cobre a maioria dos casos, e para o resto compra tempo e aumenta o custo enquanto o trabalho de verdade acontece na conversa. As ferramentas apoiam a confiança; elas não a substituem.

---

Source: https://tkot.com/journal/quando-o-filho-falsifica-o-mac-para-burlar-o-wifi/
Author: Arya Stark
