Rapport de projet – Déploiement et configuration d’un pare-feu personnel (UniFi Gateway Ultra)
1. Contexte du projet
L’objectif de ce projet était de sécuriser et segmenter mon réseau domestique/laboratoire (homelab) en mettant en place un pare-feu centralisé.
Le choix s’est porté sur l’UniFi Gateway Ultra (UCG Ultra), permettant à la fois la gestion du routage, du pare-feu, de la segmentation réseau (VLANs) et de la protection avancée (IPS/IDS, filtrage DNS, blocage géographique).
Le pare-feu est intégré dans une infrastructure plus large comprenant :
Des clusters Proxmox pour les VM et conteneurs
Un réseau Wi-Fi géré par des points d’accès UniFi (AP-1, AP-2)
Un switch PoE (GS308EP) assurant la connectivité des AP et des serveurs
Un serveur Web dans la DMZ protégé via Cloudflare Proxy
2. Objectifs principaux
Centraliser la gestion du réseau et des règles de sécurité.
Segmenter le trafic via des VLANs dédiés (LAN, IoT, Invité, DMZ, etc.).
Activer et configurer l’IPS/IDS intégré pour détecter et bloquer les menaces.
Protéger le serveur Web exposé grâce à Cloudflare et un filtrage par règles firewall.
Fournir un réseau Wi-Fi sécurisé avec des SSID adaptés (IoT, Invités, Master, Secure).
Garantir une gestion simplifiée et une visibilité claire grâce au contrôleur UniFi.
3. Étapes de mise en place
3.1 Installation et configuration initiale
Déploiement de l’UniFi Gateway Ultra sur l’adresse 10.0.1.1.
Connexion à Internet via WAN primaire (2.5 GbE).
Ajout des AP et des serveurs au switch PoE, connectés au firewall.
Mise à jour du firmware et adoption dans l’interface UniFi.
3.2 Création et segmentation des VLANs
Les VLANs ont été définis comme suit :
Nom du réseau | VLAN ID | Description | Adresse IP/CIDR | Isolé/Non isolé du réseau | Accès à internet |
LAN | 1 | Réseau d'administration / gestion | 10.0.1.0/24 | Non isolé | Oui |
IOT | 20 | Objets connectés | 10.0.2.0/24 | Isolé | Oui |
Guest | 30 | Réseau pour les invités (Limite bande passante) | 10.0.3.0/24 | Isolé | Oui |
Homelab | 40 | Réseau de test | 10.0.4.0/24 | Isolé | Non |
Master | 50 | Réseau de gestion | 10.0.5.0/24 | Non isolé | Oui |
DMZ | 60 | Réseau exposé à internet | 10.0.6.0/24 | Isolé | Oui |
Secure | 110 | Réseau principal | 10.0.11.0/24 | Non isolé | Oui |
VPN | - | Accès VPN au réseau | 10.0.100.0/24 | - | - |
👉 Chaque VLAN est routé par le pare-feu, avec des règles précises de communication inter-réseaux.
3.3 Wi-Fi et points d’accès
Création de 4 SSID distincts :
FILOU-Master (Caché)
FILOU-IoT (Caché)
FILOU-Invite (Portail captif personnalisé, logo + CGU)
FILOU-Secure
Attribution des SSID aux VLAN correspondants.
Mise en place du portail invité avec acceptation des CGU.
3.4 DMZ et serveur Web
Hébergement d’un serveur Web Apache2 dans la DMZ (10.0.6.11).
Exposition publique uniquement via Cloudflare Proxy (port 80/443).
Firewall configuré pour autoriser uniquement Cloudflare IPs vers la DMZ.
Port forwarding restreint :
TCP/UDP 80 → 10.0.6.11:80
TCP/UDP 443 → 10.0.6.11:443
3.5 Sécurité avancée
IPS/IDS activé en mode “Notify and Block”.
Blocage géographique configuré (Russie, Corée du Nord).
DNS chiffré via Cloudflare.
Déploiement d’un honeypot sur l’adresse 10.0.1.9 pour capter les tentatives malveillantes.
Catégories activées : Botnets, Malware, Exploits, Dark Web, Reconnaissance.
4. Défis rencontrés
Configuration fine des VLANs et des règles inter-segments.
Compatibilité Cloudflare Proxy avec le firewall (nécessité de restreindre aux IPs Cloudflare).
Optimisation des performances IPS/IDS sur trafic élevé.
Mise en place d’un portail invité conforme aux bonnes pratiques de sécurité.
5. Résultats
Réseau domestique entièrement segmenté et sécurisé.
Visibilité accrue sur l’activité réseau via UniFi Controller.
Serveur Web protégé derrière Cloudflare et isolé dans la DMZ.
Wi-Fi sécurisé avec plusieurs niveaux d’accès (IoT, invités, master, secure).
IPS/IDS en production, bloquant activement les menaces externes.
6. Perspectives
Ajouter un VPN site-to-site pour l’accès externe sécurisé à un autre réseau, possiblement un VPS Cloud.
Tester la mise en place de règles Zero-Trust (accès basé sur identité).