Policy Engine : Vos conseils

  • Vague de SPAM

    Suite à une vague de spam sur le forum, les inscriptions sont temporairement limitées.

    Après votre inscription, un membre de l'équipe devra valider votre compte avant qu'il ne soit activé. Nous sommes désolés pour la gêne occasionnée et vous remercions de votre patience.
D

Dimebag Darrell

Padawan
Membre Confirmé
21 Avril 2020
144
13
33
Bonjour à tous,


Je suis en train de réorganiser mon réseau perso basé sur une UDM Pro Max avec plusieurs VLANs :


  • VLAN1 – INFRA_NET (192.168.1.0/24) : UDM, switches, APs
  • VLAN10 – SERVERS_NET (192.168.10.0/24) : NAS Synology + Docker (Plex, Portainer, Home Assistant, Grafana, etc.)
  • VLAN20 – IOT_NET (192.168.20.0/24) : TV, Hue, caméras, sonnette, thermostats…
  • VLAN30 – USERS_NET (192.168.30.0/24) : PC, Mac, smartphones, tablettes
  • VLAN40 – GUESTS_NET (192.168.40.0/24) : WiFi invités
  • VLAN50 – CAMERAS_NET (192.168.50.0/24) : caméras IP + Surveillance Station

J’ai activé le nouveau Policy Engine (Zone-Based Firewall) d’UniFi, mais je voudrais avoir vos conseils de bases:


  1. Bloquer le trafic inter-VLAN par défaut (Internal → Internal).
  2. Créer des exceptions ciblées (ex : Users → Home Assistant, IoT → Surveillance Station, Users → Plex).
  3. Protéger l’accès au Gateway (UDM) depuis les VLAN non fiables (IoT, Guests).
  4. Savoir si certains d’entre vous utilisent le reverse proxy DSM ou Nginx Proxy Manager pour simplifier les flux entre VLANs.

Mon objectif est :
  • Avoir un réseau cloisonné par défaut.
  • Autoriser uniquement les flux nécessaires via des règles Allow spécifiques.
  • Garder une config la plus simple possible à gérer.

Si vous avez déjà mis en place le Zone-Based Firewall avec plusieurs VLANs, je serais preneur de vos retours d’expérience, bonnes pratiques et pièges à éviter.


Merci d’avance.
 
Avec mon UDM_SE j'ai un réseau beaucoup plus simple , je n'ai qu'un seul VLAN pour les invités isolé du reste du réseau .
Tu peux aller sur ce site
 
Avec mon UDM Pro (et initialement avec mon USG), j’ai démarré avec une approche beaucoup plus simple : tout sur le même VLAN

J’ai bien consulté ce site, et même si c’est utile, je pense que beaucoup rencontrent le même problème : certains appareils se connectent, mais on n’a aucune visibilité sur l’endroit où ils envoient réellement leur trafic.


Un bon exemple, c’est l’application de mes panneaux solaires, impossible de savoir ce qu’elle fait en arrière-plan.
C’est pour ça que l’objectif est d’isoler les appareils “non fiables” dans leur propre VLAN, afin qu’ils n’aient pas un accès libre au reste du réseau.
Et tant qu'à faire, réaliser quelque chose de "propre"
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour