Bloquer l'accès Internet d'un périphérique avec UniFi
Dans nos installations domotiques, nous intégrons de plus en plus d'objets connectés, et pour nombre d'entre eux, un accès cloud est proposé par les constructeurs.
Sur de nombreux périphériques que je possède, je ne me sers pas des accès cloud et souhaite leur bloquer l'accès à Internet, pour éviter d'exposer mon réseau domestique aux failles potentielles ou tentatives d'attaques et protéger notre vie privée.
Pour cela il faut un équipement avec la fonction de routeur dans vos équipements UniFi, par exemple USG-Pro 4 ou UDM ou comme moi un UDM-Pro.
Pour effectuer cette opération, il faut avouer que le système d'UniFi n'est pas le plus simple, alors que des concurrents permettent de réaliser cela en à peine plus de 2 clics. Ici, il faudra plusieurs manipulations, même si cela ne prend que 2 minutes.
Pour commencer, rendez-vous sur l'interface de contrôle UniFi, pour attribuer une une adresse IP fixe à l'équipement que vous désirez bloquer, si cela n'est pas déjà fait. Il s'agit d'ailleurs d'une bonne pratique que nous vous conseillons globalement d'appliquer.
Pour cela, direction l'onglet "Clients" où vous sélectionnerez l'équipement en question. Dans l'encart qui s'ouvre sur la droite, basculez sur l'onglet "Configuration", cochez "Use Fixed IP Address" et renseignez l'adresse IP fixe que vous souhaitez attribuer au périphérique (l'adresse IP actuelle étant positionnée par défaut).
Nous allons pouvoir attaquer le vif du sujet maintenant. Pour arriver à nos fins, nous allons devoir créer des règles dans le pare-feu qui agiront sur un groupe d'adresses IP, vu que l'on peut vite se retrouver avec plusieurs équipements auxquels vouloir bloquer l'accès Internet.
On commence par créer un groupe d'adresses IP en nous rendant dans "Settings" puis "Security" et enfin dans l'onglet "Internet Threat Management".
Dépliez le menu "Firewall" vu que c'est lui que nous devons configurer.
Nous allons créer un groupe comme indiqué plus haut, afin de permettre d'appliquer les règles à tous les équipements en faisant partie.
Cliquez sur "Create New Group", donnez lui un nom et choisissez le type "IPv4 Address".
Il ne vous reste plus qu'à ajouter les adresses IP des équipements que vous souhaitez bloquer. On regrette ici de ne pas pouvoir sélectionner simplement les équipements à ajouter.
Nous allons maintenant pouvoir créer nos règles, dans "Firewall", choisissez "Create New Rule". Il faudra créer 2 règles pour bloquer les communications aussi bien entrantes que sortantes.
Les 2 règles sont similaires, la différence réside dans leur type, pour les données Internet IN/OUT, on donne un nom à la règle et on sélectionne l'action "Reject" (ben oui le but est de bloquer). On choisit enfin notre groupe d'adresses IP en tant que destination de la règle entrante et en source pour la sortante.
Voilà, il ne reste qu'à attendre le déploiement de vos règles et celles-ci seront effectives.
Ce tutorial est terminé, et même si ce n'est pas très compliqué, cela pourrait être bien plus simple et une option devrait être rendue disponible par Ubiquiti directement dans l'encart de configuration d'un équipement. De même que l'ajout d'équipements à un groupe, qui pourrait être amélioré. Si jamais quelqu'un d'Ubiquiti nous lit, cela serait vraiment une bonne chose que d'ajouter ces améliorations aux prochaines versions d'UniFi Controller.
N'hésitez pas à laisser un commentaire ou venir sur notre groupe Telegram si vous rencontrez un souci lors de l'application de cet article, ou simplement pour discuter avec l'équipe et la communauté !