Sécurité Réseau : Paramétrer son Pare-feu (Firewall) pour l'IPTV
Box Android chinoises vérolées, applications douteuses... Comment isoler physiquement et logiquement votre matériel IPTV du reste de votre réseau domestique via pfSense, OPNsense ou Unifi.
Si les Smart TV Samsung LG (Tizen/WebOS) et les Apple TV sont des forteresses en termes de sécurité, de nombreux utilisateurs choisissent d'acheter des Box Android bas de gamme à Taux de Rafraichissement élevé, non-certifiées Google, souvent blindées de logiciels espions ou formant des "Botnets" à leur insu.
La règle d'or d'un SysAdmin : On ne fait jamais confiance à une boîte noire connectée via un câble HDMI.
Étape 1 : Isoler via V-LAN (Réseau Virtuel)
L'objectif principal est d'empêcher votre boîtier (Formuler, MAG, Box Android obscure) de "voir" vos ordinateurs de travail, votre NAS réseau contenant des données privées (sauvegardes, photos) ou vos caméras de sécurité locales.
- Dans l'interface de votre routeur Pro (pfSense, Ubiquiti Unifi, Mikrotik), rendez-vous dans la section Réseau / LAN.
- Créez un nouveau V-LAN (par exemple
VLAN ID: 40, nomméIoT_IPTV, sous-réseau192.168.40.1/24). - Dans les paramètres de votre Switch ou la borne réseau Unifi, assignez le port physique (ou un SSID WiFi dédié) lié à la TV exclusivement à ce VLAN 40.
Étape 2 : Les "Firewall Rules" (Règles strictes)
Maintenant que la TV est sur le VLAN 40, appliquons la loi martiale. Depuis pfSense/Unifi Rules section :
| Ordre | Action | Source | Dest / Port | Description |
|---|---|---|---|---|
| #1 | Autoriser | Réseau IPTV (VLAN40) | Portail VPN de Sortie | Routage du trafic vers le VPN externe |
| #2 | Autoriser | Réseau Familial (LAN) | TV IP : Port 8008, 8009 | Ouvrir ports Google Cast / TiviMate Companion (uniquement depuis le LAN vers la TV) |
| #3 | BLOQUER | Réseau IPTV (VLAN40) | Alias Réseaux Locaux (Tous les LAN) | Isolement vital - Empêche la Box chinoise de hacker la maison |
| #4 | BLOQUER | Réseau IPTV (VLAN40) | IP du Switch et Interfaces Routeur | Protége l'accès admin du routeur |
| #5 | PassOut | Réseau IPTV (VLAN40) | * (Internet Général) | Sortie internet standard (Port 80/443 pour les images EPG/M3U) |
Étape 3 : Filtres DNS & Sinkhole (NextDNS / PiHole / AdGuard)
Même cloisonnée, votre Box Android peut envoyer silencieusement votre historique d'applications lancées, du ping télémétrique à des serveurs inconnus.
Forcez le VLAN 40 IPTV à utiliser un DNS Sinkhole (comme PiHole installé sur RaspberryPi ou NextDNS cloud).
- Règle de redirection (NAT Port Forward) : Dans pfSense, créez une règle de NAT interceptant toute requête DNS (Port 53 TCP/UDP) provenant du réseau IPTV, et redirigez-là de force vers votre PiHole interne (même si la box a codé "en dur" les DNS 8.8.8.8 de Google).
- Dans PiHole/NextDNS, activez les blocs de filtrage : "Tracking Box Android", "Xiaomi Telemetry", "Samsung Analytics". Vous ne perdez aucune fonctionnalité du lecteur TiviMate/Smarters mais vous coupez l'hémorragie de vos métadonnées personnelles.
Note sur l'Intrusion Prévention (IDS/IPS - Suricata/Snort)
L'inspection profonde des paquets (DPI) via Snort ou Suricata pour filtrer l'IPTV est souvent contre-productive et fera s'effondrer votre latence. Le flux vidéo pesant des gigaoctets avec beaucoup de fausses alertes sur les serveurs VOD. Privilégiez : Un blocage DNS agressif + Un VPN source + Un VLAN strict, désactivez le DPI IPS/IDS sur l'interface du VLAN 40.
Il peut paraitre effrayant de lire "VLAN" et "Règles Firewall", mais une fois paramétré en 45 minutes, vous obtenez le "Graal" de l'administrateur domestique. Une sécurité de Classe Entreprise dans le salon pour streamer sereinement Atlas Pro.