Aller au contenu
Dernière édition : 2026-07-09

Création des règles de filtrage

Bannière LoutikCloud

Informations

  • Date de création : 2026-06-30
  • Service ciblé : Réseau
  • Auteur : Louis MEDO
  • Responsable : Louis MEDO

1. Architecture et contexte

Cette procédure décrit l'écriture et l'application des règles de sécurité au sein de la nouvelle interface de filtrage d'OPNsense (Rules [new]). Ce framework moderne basé sur l'API MVC structure la matrice de flux de manière granulaire. L'objectif est d'implémenter une politique de sécurité de type Zero-Trust inter-VLAN en exploitant les alias et catégories configurés précédemment. Cette approche garantit la compatibilité directe avec le code des playbooks Ansible.

2. Prérequis

3. Création d'une règle de filtrage dans l'interface moderne

3.1. Ajout d'une règle unitaire. Depuis l'interface Web, naviguez dans Firewall > Rules [new] et cliquez sur le bouton "+" rouge en bas à droite pour ouvrir la fenêtre de dialogue "Edit rule".

Enabled : Coché
Categories : Management
Description : [DMZI -> Management] Autorisation flux SSH vers le reverse proxy
Interface : DMZI_SVC_12
Quick : Coché
Action : Pass
Direction : In
Version : IPv4
Protocol : TCP
Source : NET_DMZI_SERVICES
Source Port : any
Destination : HOST_REVERSE_PROXY
Destination Port : 22
Gateway : None

Enabled : Active la règle de filtrage.

Categories : Association à l'étiquette organisationnelle (ex: Management, Inter-VLAN).

Description : Contextualisation humaine respectant scrupuleusement le format strict [Flux] Description métier du REF-003, Section 2.3 (Convention de nommage réseau et pare-feu).

Interface : Segment réseau physique ou logique (VLAN) sur lequel s'applique le contrôle d'accès.

Quick : Si coché, applique immédiatement la règle dès qu'un paquet correspond, sans évaluer les règles suivantes.

Action : Détermine le traitement du flux (Pass pour autoriser, Drop pour rejeter silencieusement)[cite: 8].

Direction : Sens du trafic par rapport à l'interface (In pour intercepter le trafic entrant dans le pare-feu depuis un segment)[cite: 8].

Version : Sélectionne la version du protocole IP (IPv4 ou IPv6).

Protocol : Sélectionne le protocole de transport ciblé (ex: TCP, UDP, ICMP).

Source / Destination : Sélection stricte des alias de réseaux (NET_) ou d'hôtes (HOST_) définis selon la norme Nomina.

Source Port / Destination Port : Spécification des ports sources ou des alias de services (PORT_) cibles.

Gateway : Permet de forcer un routage spécifique via une passerelle de sortie (Laisser à None par défaut).

4. Application et validation de la politique

4.1. Rechargement des configurations en mémoire. Pour appliquer les modifications et injecter les règles au sein du moteur de filtrage pf, appliquez les changements.

Action : Clic sur le bouton "Apply Changes"

Apply Changes : Valide et recharge la politique de sécurité globale du pare-feu.

Annexe