Glossário
O que é um VPN kill switch
Uma feature que bloqueia todo tráfego de internet se o túnel VPN cai, pra que seu IP real não vaze durante reconexões.
Um VPN kill switch bloqueia todo tráfego de internet quando o túnel VPN cai. O ponto é que seu IP real não vaze durante os segundos (ou mais) que leva pra reconectar. Toda VPN diz que tem um. A maioria não tem, do jeito que importa.
A diferença é onde o kill switch vive.
Kill switches no nível de app: o tipo falso
A maior parte dos kill switches de VPN vive dentro do app de VPN. O app monitora o túnel; quando vê o túnel cair, bloqueia tráfego. Soa razoável.
O problema é timing. O app descobre que o túnel caiu depois que o SO já roteou pacotes. Heartbeats rodam a cada 10 a 60 segundos, dependendo do protocolo. Existe uma janela de 200ms a vários segundos onde o SO acha que o túnel ainda está de pé — mas não está, e pacotes caem de volta na interface subjacente e vazam seu IP real.
Quando o app reage, seu navegador já mandou a próxima requisição. Serviços de streaming já logaram seu IP. Seu provedor já viu a consulta DNS em texto puro que deveria ser tunelada.
Kill switches userland ativam depois do vazamento. Esses são a maior parte dos kill switches de VPN consumidor.
Kill switches a nível de kernel: o tipo real
Kill switch a nível de kernel vive no network stack do SO. No Windows isso é Windows Filtering Platform (WFP) — a mesma firewall API que o Windows Defender Firewall usa. No macOS é Network Extension. No Linux é regras nftables/iptables com PF_INET hooks.
Três propriedades fazem funcionar:
- Dispara antes do VPN handshake completar. Quando você clica Connect, filtros de kill switch são montados primeiro. Handshake passa por um buraco que o kill switch abriu especificamente pro VPN endpoint. Se o handshake falha, nada mais sai.
- Sobrevive a crashes do app. Se o processo de VPN morrer, o kill switch continua bloqueando. Kill switches userland morrem com seus apps — e o Windows alegremente restaura roteamento normal assim que o app sai.
- Sobrevive a sleep, resume e mudanças de rede. Wi-Fi pra ethernet, fechar a tampa, hibernar, trocar de hotspot — todos eventos que um kill switch in-app precisa tratar como mudanças de state separadas. Regras WFP ficam embaixo disso.
Leia o aprofundamento pro mecanismo completo.
O que kill switch não conserta
Kill switch fecha o gap durante transições de túnel. Não:
- Não protege contra endpoints comprometidos. Malware no seu laptop vê tráfego antes do kernel ver.
- Não para DNS leaks sozinho — isso é uma camada separada (NRPT no Windows, force-DNS-through-tunnel na config do protocolo).
- Não previne WebRTC leaks. WebRTC opera acima do nível de rede; o navegador sabe seu IP real independente do que a rede vê.
Esses precisam de fixes separados. Não confie numa VPN que junta tudo isso debaixo de "kill switch protection".
Como o Fexyn trata
Nível de kernel via WFP. Dispara antes do handshake. Sobrevive a crashes. On por default, sem toggle pra esquecer. Permite loopback pra que servidores de dev local continuem funcionando. Leia mais na página de suporte ou teste no caso de uso de Wi-Fi público onde mais importa.
Experimente o Fexyn grátis por 7 dias — o kill switch é on por default.
Termos relacionados
Experimente o Fexyn grátis por 7 dias
App para Windows disponível agora em Beta. WireGuard, VLESS Reality e OpenVPN — sem logs de histórico de navegação, consultas DNS ou conteúdo de tráfego.
Ver preços