État firewall étiqueté avec une règle qui ne correspond ni à la source ni à la d

Started by valentinP, July 05, 2026, 08:14:06 PM

Previous topic - Next topic
Bonjour à tous,

Je rencontre un comportement que je n'arrive pas à expliquer sur OPNsense et j'aimerais votre avis.

Contexte / architecture:

J'ai un plan d'adressage particulier : un seul 172.16.5.0/24 découpé en sous-réseaux VLSM, un par VLAN. Par exemple :

  • VLAN IoT : 172.16.5.0/27
  • VLAN Serveurs : 172.16.5.128/28



Home Assistant est sur le VLAN Serveurs (172.16.5.134) et pilote en local une ampoule sur le VLAN IoT (172.16.5.5, port 80).

Le problème:

Dans Firewall > Diagnostics > États, je vois cet état :

172.16.5.134:xxxxx > 172.16.5.5:80   ESTABLISHED   Règle : ACCESS_TO_BORNE_WIFI


Or la règle ACCESS_TO_BORNE_WIFI a une source 172.16.5.132 et une destination 172.16.5.162 port dest 443 etc (via un alias). Elle ne devrait donc pas matcher un flux 172.16.5.134 > 172.16.5.5. La source et la destination ne correspondent pas du tout.

J'ai bien une règle dédiée ALLOW_HA_ACCESS_TO_AMPOULE prévue pour ce flux, mais l'état est étiqueté avec ACCESS_TO_BORNE_WIFI à la place.

Ce que j'ai déjà vérifié

  • La règle ACCESS_TO_BORNE_WIFI a bien source/destination corrects (.132/.162), l'option quick est activée.
  • L'alias utilisé pour le port est de type Port (il contient notamment le port 80), donc il n'apparaît pas dans Diagnostics → Alias.
  • Les alias d'adresse visibles dans Diagnostics → Alias sont bien de type Hôte/Réseau et ne semblent pas contenir .134 ni .5.
  • Le flux HA > ampoule fonctionne (état ESTABLISHED), donc le trafic passe, c'est juste l'étiquette de règle qui m'interpelle.

Mes questions:

  • Est-il possible qu'un état conserve l'étiquette de la règle qui l'a créé initialement, même après modification de mes règles ? (J'ai récemment ajouté/modifié plusieurs règles, dont ALLOW_HA_ACCESS_TO_AMPOULE.)
  • Si oui, est-ce que flusher l'état et laisser la connexion se rétablir devrait ré-étiqueter le nouvel état avec la bonne règle ?

Ce que j'ai observé après flush:

J'ai flushé l'état concerné et laissé la connexion HA > ampoule se rétablir.Le nouvel état réapparaît sous ACCESS_TO_BORNE_WIFI.

Ma question porte donc sur le fait que le mauvais label persiste même sur une connexion neuve

  • Y a-t-il un cas où l'affichage de la règle dans la table d'états peut être trompeur (label figé, réévaluation, etc.) ?


Merci d'avance pour votre aide.

Versions
OPNsense 26.1.10-amd64
FreeBSD 14.3-RELEASE-p15
OpenSSL 3.0.21