Réseau

🎯 Architecture Réseau

Réseau segmenté avec VLANs pour isolation et sécurité, firewall avancé avec OPNsense, et filtrage DNS avec Pi-hole/AdGuard Home.

🔀 VLANs

Segmentation réseau pour isolation et sécurité :

Règles Firewall inter-VLANs

• Management → Tous les VLANs (administration)
• Services → IoT (pour contrôle)
• IoT → Services (API uniquement)
• Guest → Internet seul (isolation totale)

🛡️ Firewall - OPNsense

Firewall open source basé sur FreeBSD pour sécurité et routage :

• Firewall Rules : Contrôle granulaire du trafic
• NAT / Port Forwarding : Exposition services externes
• VPN : WireGuard & OpenVPN pour accès distant
• IDS/IPS : Suricata pour détection d'intrusion
• QoS : Priorisation du trafic important
• HAProxy : Load balancing (optionnel)
• Monitoring : Netflow, statistiques temps réel

🔍 DNS & Filtrage

Pi-hole / AdGuard Home

• Blocage publicités au niveau DNS
• Blocage tracking et télémétrie
• Listes noires personnalisées
• DNS over HTTPS (DoH) ou DNS over TLS (DoT)
• Statistiques détaillées des requêtes DNS
• Protection malware et phishing

Configuration DNS

DNS primaire : Pi-hole (192.168.20.10)
DNS secondaire : AdGuard (192.168.20.11)
Upstream : Cloudflare (1.1.1.1) ou Quad9 (9.9.9.9)

🔐 Reverse Proxy & SSL

Nginx Proxy Manager pour exposition sécurisée des services :

• Certificats SSL : Let's Encrypt automatique
• Sous-domaines : service.ruelle.fr pour chaque app
• Force HTTPS : Redirection automatique
• Access Lists : Restriction par IP
• Basic Auth : Protection supplémentaire
• Custom locations : Routing avancé

📡 Équipements

• Router/Firewall : VM OPNsense (2 vCPU, 4GB RAM)
• Switch managé : Support VLANs 802.1Q
• WiFi : UniFi AP / TP-Link Omada (VLANs WiFi)
• Câblage : Cat6/Cat6a pour 1-10Gbit/s

🔒 Sécurité

• Fail2ban : Blocage brute-force SSH/HTTP
• VPN obligatoire : Pour accès admin distant
• Authentification 2FA : Authelia SSO
• Logs centralisés : Graylog pour audit
• Scans réguliers : Nmap, vulnerability scanning
• Mises à jour auto : Unattended-upgrades

🔗 Accès