{"id":7611,"date":"2025-01-12T00:40:45","date_gmt":"2025-01-11T23:40:45","guid":{"rendered":"https:\/\/new.draytek.fr\/ressources\/?post_type=dt_articles&p=7611"},"modified":"2025-06-24T21:45:55","modified_gmt":"2025-06-24T19:45:55","slug":"guide-de-configuration-du-pare-feu-vigor2136-pour-les-debutants","status":"publish","type":"dt_articles","link":"https:\/\/draytek.fr\/ressources\/dt_articles\/guide-de-configuration-du-pare-feu-vigor2136-pour-les-debutants\/","title":{"rendered":"Guide de configuration du pare-feu Vigor2136 pour les d\u00e9butants"},"content":{"rendered":"
\n

Cet article pr\u00e9sente le fonctionnement du pare-feu dans les routeurs DrayTek DrayOS 5, tels que Vigor2136. Nous examinerons deux sc\u00e9narios pour r\u00e9f\u00e9rence.<\/p>\n

Le Vigor2136 dispose de trois filtres dans le menu de configuration des filtres de pare-feu. Il s’agit de filtres IP, de filtres de contenu et de filtres par d\u00e9faut. Les filtres IP et les filtres de contenu sont ind\u00e9pendants. Par cons\u00e9quent, les paquets re\u00e7us seront v\u00e9rifi\u00e9s dans l’ordre suivant :<\/p>\n

1. R\u00e8gles de filtrage IP<\/h6>\n
2. R\u00e8gles de filtrage de contenu<\/h6>\n
3. Action par d\u00e9faut des filtres IP (lorsqu’il n’y a pas de r\u00e8gle de filtre IP et de filtre de contenu correspondante)<\/h6>\n
4. Filtres de contenu Action par d\u00e9faut (appliquer l’action de filtre de contenu par d\u00e9faut si elle est correspondante. Si ce n’est pas le cas, faites l’action inverse du filtre de contenu par d\u00e9faut. Voir les actions de filtrage ci-dessous.)<\/h6>\n

Cela signifie que les paquets sont d’abord inspect\u00e9s par les filtres IP, puis inspect\u00e9s par les filtres de contenu avant que la r\u00e8gle du filtre IP ne les passe ou lorsqu’aucune r\u00e8gle de filtre IP ne correspond. Enfin, les filtres par d\u00e9faut agissent lorsque les paquets ne correspondent pas aux r\u00e8gles de filtre IP ou de contenu.<\/p>\n

Vous trouverez ci-dessous un organigramme du fonctionnement du filtre sur les paquets sortants.<\/p>\n

<\/div>\n

Filtres IP <\/b>: V\u00e9rifie les adresses IP source et de destination des paquets de donn\u00e9es, le protocole et le service (num\u00e9ro de port).<\/p>\n

Filtres de contenu <\/b>: ceux-ci incluent APPE, URL Filter et WCF. APPE est filtr\u00e9 par un mod\u00e8le d\u00e9fini. Les filtres URL et WCF filtrent les serveurs sur lesquels se connecter en v\u00e9rifiant le nom de domaine dans le paquet de requ\u00eate DNS ou SNI (Server Name Indication) dans le paquet TLS Client Hello.<\/p>\n

Filtres par d\u00e9faut <\/b>: V\u00e9rifie les paquets qui ne correspondent pas aux r\u00e8gles de filtrage de l’IP et du contenu.<\/p>\n

Actions de filtrage<\/h4>\n
Filtres IP<\/h6>\n
    \n
  • Passer <\/b>– Passez le paquet imm\u00e9diatement s’il n’y a pas de r\u00e8gle de filtre de contenu correspondante.<\/li>\n
  • Bloquer <\/b>– Jetez le paquet imm\u00e9diatement ; aucune autre r\u00e8gle de filtre ne s’appliquera.<\/li>\n<\/ul>\n
    Filtres de contenu<\/h6>\n
      \n
    • Pass <\/b>– Passez le paquet imm\u00e9diatement ; aucune autre r\u00e8gle de filtrage ne s’appliquera.<\/li>\n
    • Bloquer <\/b>– Jetez le paquet imm\u00e9diatement ; aucune autre r\u00e8gle de filtre ne s’appliquera.<\/li>\n<\/ul>\n
      Action par d\u00e9faut du filtre IP<\/h6>\n
        \n
      • Pass <\/b>– Passez le paquet imm\u00e9diatement si la r\u00e8gle par d\u00e9faut du filtre de contenu est d\u00e9sactiv\u00e9e.<\/b><\/li>\n
      • Bloquer <\/b>– Jetez le paquet imm\u00e9diatement ; aucune autre r\u00e8gle de filtre ne s’appliquera.<\/li>\n<\/ul>\n
        Action par d\u00e9faut du filtre de contenu<\/h6>\n
          \n
        • Passe <\/b>– Passez le paquet correspondant uniquement <\/b>et rejetez le paquet non correspondant.<\/li>\n
        • Bloc <\/b>– Rejeter uniquement le paquet correspondant <\/b>et passer le paquet non correspondant.<\/li>\n<\/ul>\n

          Forcer la redirection DNS<\/h4>\n

          Par d\u00e9faut, Forcer la redirection DNS est activ\u00e9 dans chaque profil LAN. Toutes les recherches DNS sortantes seront redirig\u00e9es vers l’IP LAN du routeur pour am\u00e9liorer les performances de recherche de domaine en mettant en cache les requ\u00eates et les r\u00e9sultats DNS.<\/p>\n

          Lorsque cette option est activ\u00e9e, ou que les clients utilisent le routeur comme serveur DNS, le trafic DNS sera trait\u00e9 comme LAN -> Localhost. Les r\u00e8gles de filtrage IP ignoreront ce trafic DNS et continueront \u00e0 l’inspection par les filtres de contenu.<\/p>\n

          Vous trouverez ci-dessous un organigramme d’un paquet DNS lorsque la redirection DNS de force est activ\u00e9e.<\/p>\n

          <\/div>\n

          Sc\u00e9nario 1. Liste noire. Passez plus par d\u00e9faut (Passe d’action par d\u00e9faut des filtres IP) mais bloquez quelques exceptions<\/h4>\n

          Dans un r\u00e9seau simple o\u00f9 seul un certain contenu sp\u00e9cifi\u00e9 doit \u00eatre restreint (comme la maison ou l’\u00e9cole), il est recommand\u00e9 de laisser l’action par d\u00e9faut du filtre IP \u00e0 Pass et de ne bloquer que des adresses IP et du contenu sp\u00e9cifiques.<\/p>\n

          Par exemple, dans un \u00e9tablissement d’enseignement, les exigences du r\u00e9seau sont les suivantes :<\/p>\n

            \n
          • Tous les enseignants et les \u00e9l\u00e8ves peuvent acc\u00e9der \u00e0 Internet, mais sont limit\u00e9s au contenu pour adultes.<\/li>\n
          • Emp\u00eacher les \u00e9l\u00e8ves de diffuser des m\u00e9dias et des jeux.<\/li>\n<\/ul>\n

            Nous pouvons activer la r\u00e8gle par d\u00e9faut du filtre de contenu pour emp\u00eacher toutes les personnes d’acc\u00e9der au contenu pour adultes.<\/p>\n

            Ensuite, une r\u00e8gle de filtre de contenu sera d\u00e9finie pour bloquer les m\u00e9dias et les jeux en streaming pour tous les \u00e9tudiants.<\/p>\n

            <\/p>\n

            Sc\u00e9nario 2. Liste blanche. Bloquer plus par d\u00e9faut (bloc d’action par d\u00e9faut des filtres IP) mais passer quelques exceptions<\/h4>\n

            Pour les r\u00e9seaux restreints ayant des exigences de s\u00e9curit\u00e9 plus \u00e9lev\u00e9es (comme les banques ou les entreprises informatiques), il est recommand\u00e9 de d\u00e9finir l’action par d\u00e9faut du filtre IP sur Bloquer. Le pare-feu n’autorise l’acc\u00e8s qu’aux serveurs (IP) et aux contenus sp\u00e9cifi\u00e9s.<\/p>\n

            Prenez un r\u00e9seau d’entreprise comme exemple ; chaque d\u00e9partement de l’entreprise a des politiques de pare-feu diff\u00e9rentes ; par exemple,<\/p>\n

              \n
            • L’\u00e9quipe d’assistance peut utiliser Anydesk et consulter les sites d’actualit\u00e9s, tandis que le service marketing et commercial ne peut afficher que les sites d’actualit\u00e9s.<\/li>\n
            • L’\u00e9quipe d’assistance peut acc\u00e9der au serveur Web externe.<\/li>\n<\/ul>\n

              D\u00e9finissez une r\u00e8gle de filtre de contenu pour que l’\u00e9quipe d’assistance utilise Anydesk. D\u00e9finissez l’autre r\u00e8gle de filtre de contenu pour les \u00e9quipes d’assistance et de vente afin de permettre la visualisation des sites d’actualit\u00e9s.<\/p>\n

              D\u00e9finissez une r\u00e8gle de filtre IP pour permettre \u00e0 l’\u00e9quipe d’assistance d’acc\u00e9der au serveur Web sur Internet.<\/p>\n

              <\/p>\n<\/div>\n

              <\/div>\n","protected":false},"excerpt":{"rendered":"

              Cet article pr\u00e9sente le fonctionnement du pare-feu dans les routeurs DrayTek DrayOS 5, tels que Vigor2136. Nous examinerons deux sc\u00e9narios pour r\u00e9f\u00e9rence.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","template":"","article_entries":[142],"article_tags":[151,150],"class_list":["post-7611","dt_articles","type-dt_articles","status-publish","hentry","article_entries-pare-feu-et-filtrage-de-contenu","article_tags-pare-feu","article_tags-vigor2136"],"_links":{"self":[{"href":"https:\/\/draytek.fr\/ressources\/wp-json\/wp\/v2\/dt_articles\/7611","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/draytek.fr\/ressources\/wp-json\/wp\/v2\/dt_articles"}],"about":[{"href":"https:\/\/draytek.fr\/ressources\/wp-json\/wp\/v2\/types\/dt_articles"}],"author":[{"embeddable":true,"href":"https:\/\/draytek.fr\/ressources\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/draytek.fr\/ressources\/wp-json\/wp\/v2\/comments?post=7611"}],"version-history":[{"count":4,"href":"https:\/\/draytek.fr\/ressources\/wp-json\/wp\/v2\/dt_articles\/7611\/revisions"}],"predecessor-version":[{"id":7847,"href":"https:\/\/draytek.fr\/ressources\/wp-json\/wp\/v2\/dt_articles\/7611\/revisions\/7847"}],"wp:attachment":[{"href":"https:\/\/draytek.fr\/ressources\/wp-json\/wp\/v2\/media?parent=7611"}],"wp:term":[{"taxonomy":"article_entries","embeddable":true,"href":"https:\/\/draytek.fr\/ressources\/wp-json\/wp\/v2\/article_entries?post=7611"},{"taxonomy":"article_tags","embeddable":true,"href":"https:\/\/draytek.fr\/ressources\/wp-json\/wp\/v2\/article_tags?post=7611"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}