Décrypter les règles de pare-feu OPNsense : Le guide complet

by Your Name — on  ,  , 

Configurer un pare-feu peut sembler intimidant, surtout face à la multitude d'options offertes par une solution robuste comme OPNsense. Pourtant, la sécurité de votre réseau repose sur une compréhension précise de qui a le droit de parler à qui.

Dans cet article, nous allons disséquer l'interface d'édition d'une règle de pare-feu dans OPNsense pour comprendre l'impact de chaque champ.

1. Les fondamentaux : Action et Direction

C'est la base de toute règle. Avant même de définir le trafic, vous devez décider quoi en faire.

Action

C'est le verdict appliqué au paquet réseau qui correspond à la règle.

  • Pass (Autoriser) : Le trafic est autorisé à traverser le pare-feu.
  • Block (Bloquer) : Le paquet est jeté silencieusement. L'émetteur ne reçoit aucune notification. C'est l'option recommandée pour le trafic internet non sollicité (pour rester "furtif").
  • Reject (Rejeter) : Le paquet est jeté, mais le pare-feu renvoie une réponse à l'émetteur (généralement un paquet RST pour TCP ou un message ICMP "Unreachable"). Utile pour le débogage interne ou pour éviter que les applications ne "pendent" en attendant une réponse qui ne viendra jamais.

Interface

Définit sur quelle interface réseau la règle s'applique (ex: WAN, LAN, VLAN10).

Note importante : Dans OPNsense (comme pfSense), les règles sont généralement traitées à l'entrée de l'interface (Ingress).

Direction

  • In (Entrant) : Le trafic qui entre dans l'interface pare-feu depuis le réseau connecté. C'est le choix par défaut dans 99% des cas.
  • Out (Sortant) : Le trafic qui quitte l'interface pare-feu vers le réseau. Rarement utilisé sauf pour des besoins très spécifiques de contrôle de trafic sortant complexe (Traffic Shaping).

2. La couche transport : TCP/IP

Ici, nous définissons le langage utilisé par les données.

TCP/IP Version

  • IPv4 : Pour le trafic standard actuel.
  • IPv6 : Pour le trafic nouvelle génération.
  • IPv4+IPv6 : Applique la règle aux deux protocoles simultanément. Pratique pour éviter de dupliquer les règles.

Protocol

Le protocole de transport.

  • TCP : Pour la navigation web (HTTP/S), les emails, SSH. (Connexion fiable).
  • UDP : Pour le DNS, le streaming, les jeux, certains VPNs (WireGuard/OpenVPN). (Rapide, sans garantie de livraison).
  • ICMP : Pour le ping et les diagnostics réseau.
  • ESP / GRE : Souvent utilisés pour les tunnels IPsec.

3. Source et Destination : Qui parle à qui ?

C'est souvent ici que les erreurs de configuration se produisent.

Source

L'origine du paquet.

  • Any : N'importe qui. (Dangereux sur une règle "Pass" côté WAN, normal pour une règle sortante côté LAN).
  • Single Host or Network : Une IP spécifique (ex: 192.168.1.50) ou un sous-réseau (ex: 192.168.1.0/24).
  • Use Interface Address (ex: LAN net) : Le sous-réseau attaché à l'interface choisie. Très utilisé pour autoriser tout le LAN à accéder à Internet.

Destination

La cible du paquet.

  • WAN Address : L'adresse IP publique du pare-feu.
  • This Firewall : Toutes les adresses IP du pare-feu (utile pour autoriser l'accès au DNS ou à l'interface web du routeur).
  • Any : Internet (littéralement "tout ce qui n'est pas ailleurs").

Port Ranges (Source & Destination)

  • Source Port : Presque toujours laissé sur any. Les clients utilisent des ports aléatoires (éphémères) pour initier des connexions.
  • Destination Port : Le port du service visé (ex: 443 pour HTTPS, 53 pour DNS). OPNsense propose une liste déroulante avec les noms de services courants.

4. Les options avancées indispensables

En défilant vers le bas ou en activant les options avancées, vous trouverez des champs cruciaux.

Log (Journalisation)

Cochez cette case "Log packets that are handled by this rule" si vous souhaitez voir ce trafic apparaître dans les journaux système (Live View).

  • Conseil : Ne loguez pas tout le trafic autorisé (comme le HTTPS), cela remplira vos disques inutilement. Loguez principalement les blocages ("Deny") ou les règles spécifiques de diagnostic.

Gateway (Passerelle)

Par défaut (default), OPNsense utilise la table de routage standard. Si vous avez plusieurs connexions internet (Multi-WAN) ou un VPN, vous pouvez forcer le trafic correspondant à cette règle à sortir par une passerelle spécifique ici. C'est ce qu'on appelle le Policy Based Routing (PBR).

Description

Ne laissez jamais ce champ vide. Dans 6 mois, vous aurez oublié pourquoi vous avez ouvert le port 8080 vers une IP interne. Écrivez une phrase claire : "Accès serveur web domotique depuis tablette".

Résumé des bonnes pratiques

Pour finir, gardez en tête ces trois règles d'or lors de la création de vos règles OPNsense :

  1. L'ordre compte : Le pare-feu lit les règles de haut en bas. La première règle qui correspond (Match) est appliquée et la lecture s'arrête (First Match Wins). Placez vos règles les plus spécifiques en haut.
  2. Principe du moindre privilège : N'ouvrez que le strict nécessaire (Ports précis, IPs précises) plutôt que d'utiliser "Any".
  3. Stateful Inspection : OPNsense est un pare-feu à état. Si vous autorisez une connexion sortante (du LAN vers Internet), la réponse est automatiquement autorisée. Vous n'avez pas besoin de créer une règle inverse.