Débutant - bloquer l'accès d'une ip externe à tout mon réseau interne

[Patatra]

Bonjour à tous,

Je pense poser une question très basique, mais j'avoue ne rien comprendre aux règles d'un pare feu entre les réseaux wan, lan, les sources, les directions etc...

Mon Opnsense est up et fonctionnel, mes redirections ok, j'accède à mes services, mais pour l'instant c'est plus un routeur qu'un parefeu à cause de ces fichues règles justement.

Pour mieux comprendre, j'ai besoin d'un exemple concret donc voici ce que je voudrais faire :

J'ai un serveur plex sur mon lan. J'y accède sans pb de l'extérieur, les redirections de port sont ok, pas de soucis de "routage" donc.
Mais si par exemple, je souhaites bloquer une adresse ip wan que je connais, et une seule, d'accéder à mon serveur plex, quelle règle dois-je mettre en place?

IE :
mon lan est en 192.168.24.X.
L'ip à bloquer est 89.a.b.c, donc complètement externe au lan
elle entre par mon interface wan, va du wan à l'interface lan, et essaie d'accéder à mon serveur plex en 192.168.24.D par exemple.

Dois je faire une règle sur le WAN ? Le LAN ? L'ip à bloquer est elle la source ? la destination ? le trafic est-il in ou out ?

Merci d'avance !

[vicent]

Bonjour,

Je pense que ça n'a pas besoin tant que tu n'as pas encore une règle Port Forward de NAT permettant un accès en provenance de l'Internet,  car il y a une règle par défaut sur WAN qui bloque toutes les connexions initialisées des adresses de l'Internet (voir la copie d'écran).

Mais,  si tu as une règle NAT (port forwarding) fonctionnel,  tu auras besoin de bloquer des adresses connues comme mauvaises intentions....par exemple ton 89.a.b.c  ,  tu peux aussi définir une liste de "Host" dans Firewall-Alias, et créer une règle block/reject sur le WAN (Firewall-Rules-Wan) en choisissant la liste de "Host" préalablement défini par toi.

Si je ne me suis pas trompé...