Jbsky

Infrastructure

Infrastructure réseau

L'infrastructure repose sur un routeur VyOS qui centralise le routage, le firewall zone-based, et héberge les services critiques dans des containers Podman isolés.

Réseau

L'architecture est segmentée en VLANs avec un modèle zone-based firewall strict :

WAN (eth1)
    |
VyOS Router ── 21 zones firewall
    |
    ├── VLAN Management (serveurs, Proxmox)
    ├── VLAN LAN (postes de travail)
    ├── VLAN IoT (Home Assistant, domotique)
    ├── VLAN K3s (cluster Kubernetes)
    ├── VLAN Data (bases de données)
    ├── VLAN Mail (Postfix/Dovecot)
    └── Container Networks (Podman)
         ├── bind9      (DNS)
         ├── webproxy   (Squid + c-icap + ClamAV)
         ├── haproxy    (Reverse proxy TLS)
         ├── suricata   (IDS/IPS)
         └── uptime-kuma (Monitoring)

Principes

  • Isolation : chaque service dans son propre réseau, communication inter-zone explicite
  • Default deny : toutes les zones ont default-action drop avec logging
  • DNAT centralisé : tout le DNS interne est intercepté et redirigé vers BIND9
  • Proxy transparent : le trafic IoT passe par Squid via PBR (Policy Based Routing)

Articles détaillés

Chaque composant fait l'objet d'un article technique complet dans la catégorie Infrastructure.