Hello,
 
 
J'ai pour projet de sécuriser mon réseau chez moi avec un firewall, ayant plusieurs PC (Windows & Linux), un NAS et pas mal d'objets connectés.
 
J'aimerais avoir votre avis sur la solution à adopter :
- Un firewall matériel dédié
- Serveur dédié avec firewall logiciel (type pfsense/opnsense)
- Utiliser ma box Orange
 
A la base j'étais parti sur la 2e solution, comme j'ai un petit PC à disposition, je pensais y installer un Linux ou un BSD et une solution de firewalling. Qu'en pensez-vous? Si bonne idée, quel type de carte réseau je vais avoir besoin? Et où ce serveur va-t-il se situer? J'imagine derrière la box puis de ce serveur doivent partir toutes mes connexions.
 
Sur ma box fibre actuellement j'ai 2 hubs pour des systèmes connectés (IOT) et 3 switchs de branchés. Et j'utilise également le wifi. Cela signifie-t-il que derrière mon serveur FW je vais avoir besoin d'un gros switch? Eventuellement d'un switch WIFI même?
 
 
Je suis un peu perdu, quelques éclaircissements seraient la bienvenue
 
 
Merci

Tu n'as pas besoin d'une carte réseau particulière, il faut juste que la distro que tu vas installer la supporte (au niveau drivers).
La topologie physique (les câbles) et logique (les vlans/IP) sont deux choses pas forcément corellées pour peu que tu puisses faire du 802.1q entre tes switchs et firewall.

ça m'intéresse ton projet, j'ai déjà un routeur dédié que je vais devoir changer (il meurt doucement en faisant des coupures), à priori par un Asus dans un premier temps.
je veux aussi séparer la domotique du reste, et séparer le pro et du perso. et je ne sais pas quoi choisir non plus, entre une machine dédiée (mais est-ce qu'il faut plusieurs cartes réseau dessus ?), un fw matériel mais j'ai peur d'être très largué et de faire des trous plutôt que bien me protéger. je viens de découvrir les produits Ubiquiti avec le topic dédié garé pas loin ça a l'air bien

Mon topic n'a pas suscité les foules
 
On m'a conseillé dans mon entourage la suite Opnsense (fork de pfsense) qui peut se déployer sur une machine dédiée comme sur un FW physique.
 
Sur la machine dédiée à priori il faudrait au moins 2 ports (2 cartes ou une carte double port) pour l'entrée/sortie quoi, puis un gros switch derrière. Et éventuellement une carte réseau (mini PCIe par ex) pour le Wifi pour permettre de se créer son propre AP.
Par contre faut s'assurer que les cartes soient compatibles avec la distro (FreeBSD pour Opnsense).
 
L'avantage c'est qu'on peut tout filtrer et tout paramétrer. Et pour le wifi par exemple il y a le captive portal (authent limitée dans le temps) ou la double authent avec Google auth.
 
Bref je pense qu'il faut tester, sur une VM par exemple pour commencer.
 
Ubiquiti je ne connais pas, je vais y jeter un oeil. Il y a beaucoup de choix en tout cas, dur de savoir ce qui pourrait correspondre à mon besoin.

tu n'as pas besoin de 2 ports, un suffit.

ça c'est si je peux mettre mon FW avant ma box? Mais j'ai un boitier ONT relié en fibre à la box et je ne crois pas qu'il y ait de RJ45 sur ce boitier (je vais aller vérifier).
 
Moi je pensais filtrer en sortie de box et brancher mon switch après le firewall.

Un ONT relié en fibre à la box ? ça m'étonnerait, le but de l'ONT c'est justement de convertir la fibre en RJ45.
 
Mais non en général tu mets le firewall à la place de la box, soit derrière (entre la box et le LAN). Si tu le mettais entre la box et l'ONT tu ne verrais aucune IP privée puisque tous les échanges seraient déjà NATés sur l'IP publique de la box, donc tu ne pourrais pas filtrer grand chose.

La fibre arrive à un petit boitier blanc (sur lequel il y a d'autres ports mais il y a un cache que je n'arrive pas à ouvrir et le boitier est difficile d'accès) et de ce boitier repart une autre fibre qui va sur un Gbic à l'arrière de ma box.

Du coup le FW entre ce boitier et ma box (ou en remplacement de la box) ça me parait compliqué à moins d'avoir une carte fibre (bonjour le prix).

Donc je n'ai pas d'autres solutions que de mettre le FW juste après la box. Dans ce cas il me faut bien 2 ports RJ45 (de la box vers le FW, puis du FW vers mon switch).

ça donnerait:
Fibre --> Box --(RJ45)--> FW --(RJ45)--> Mon switch sur lequel tous mes équipements sont connectés.

Ou sinon je peux utiliser ça j'imagine : https://www.tp-link.com/fr/business [...] ry/mc220l/

Tu peux avoir deux sous-interfaces (et donc une seule interface physique) si tu as un switch manageable. Sinon en effet il te faudra deux interfaces ethernet.

Ne cherche pas à mettre ton firewall entre ton ONT et ta box, ça ne mène à rien.

C'est noté merci pour ton aide. L'idée de complètement remplacer la box m'aurait bien plu mais ça semble plus compliqué (et onéreux du coup) donc je vais me contenter de mettre le FW après.

Je relance à partir de là.

Niveau IP, ça a du sens que la box soit dans le même sous réseau que les équipements ?
par exemple :

(box) 192.168.1.1 --> 192.168.1.2 (routeur - FW)  -->  192.168.1.x (équipements)
ou ?
(box) 192.168.1.1 --> 192.168.1.2 (routeur - FW) 10.0.0.1  -->  10.0.0.x (équipements)

Dans le second cas, les équipements peuvent-ils accéder à la box (pour administration notamment), n'étant pas sur la même plage IP ?
Dans ce cas, les équipements peuvent-ils accéder facilement à la box ?