Infrastructure pare-feu + IPS (DMZ, NAT, Suricata)

Architecture simulée sous Proxmox avec 5 VMs Debian interconnectées en 4 zones distinctes :

Internet (5.5.5.5), DMZ publique (66.6.6.4/30 — DNS/HTTP), réseau interne (10.0.0.0/24) et DMZ privée

(10.0.1.0/24 — SSH). Le pare-feu central gère 4 interfaces réseau en dual-stack IPv4/IPv6.

Configuration nftables (netfilter) :

Politique par défaut DROP sur toutes les chaînes. Filtrage stateful avec suivi de connexions (conntrack).

NAT masquerade depuis le réseau interne vers la DMZ publique (eth1) et depuis la DMZ privée vers

Internet (eth0). Protection anti-spoofing et rejet des paquets invalides. Règles par zone :

Internet → pare-feu (ICMP echo-request, Time Exceeded), Internet → DMZ publique (HTTP, DNS UDP, ICMP),

réseau interne → DMZ publique (DNS UDP + NAT), réseau interne → DMZ privée (SSH IPv6),

DMZ privée → Internet (SSH + NAT), pare-feu → DMZ privée (SSH IPv6).

IPS Suricata couplé à nftables via NFQUEUE :

3 règles de détection/blocage actives — requêtes DNS vers malicious.com (drop immédiat),

ping flood détecté au-delà de 10 paquets ICMP/s (validé avec hping3 --flood),

brute-force SSH bloqué au-delà de 5 tentatives/s (validé avec hping3 -S -p 22 --faster).

Tests de validation : matrice de flux inter-zones vérifiée avec ping, curl et ssh,

scénarios d'intrusion rejoués avec nmap et hping3, logs analysés dans Suricata eve.json

et compteurs nftables (nft list ruleset).