Richard Hofrance Bankouezi · Consultant cyberdéfense MÉRIDIEN 002 · 47.0°N // 2.3°E · UTC+2 Disponible · missions Q3 2027
Richard Hofrance Bankouezi
← Écrits / Infra & homelab
Infra & homelab

Segmenter un homelab comme une vraie prod

28 MAI 2026 · 11 MIN DE LECTURE

Mon homelab a longtemps été un grand /24 bien plat. Tout se voyait, tout se parlait, et le jour où une caméra chinoise a commencé à scanner le réseau à 3 h du matin, j’ai compris : j’avais reconstruit, en miniature, exactement l’angle mort que je passe mes journées à corriger ailleurs.

Un réseau plat, c’est confortable. On branche, ça marche, on passe à la suite. Le problème, c’est que la commodité du jour devient la surface d’attaque du lendemain. Une enceinte connectée, un NAS oublié, un conteneur mal configuré : sur un réseau plat, le premier pied compromis voit toute la maison.

La bascule mentale, c’est d’arrêter de penser « appareils » et de penser « zones ». J’ai découpé en quelques VLAN aux rôles clairs : management (hyperviseurs, switch, IPMI), services de confiance (DNS, reverse proxy, supervision), IoT (tout ce que je ne maîtrise pas), lab (tout ce qui doit pouvoir casser), et une DMZ pour ce qui est exposé. Chaque zone est un sous-réseau, et entre les zones, rien ne passe par défaut.

La vraie discipline n’est pas dans les VLAN, elle est dans la politique de pare-feu. Default-deny partout, puis on ouvre au compte-gouttes, flux par flux, avec une justification pour chacun. Le management ne doit être joignable que depuis le management. L’IoT n’a accès qu’à Internet et à rien d’interne. Le lab peut être détruit sans que ça touche le reste. Écrit comme ça, ça ressemble à une politique de prod, et c’est exactement le but.

Les quatre réflexes
Penser en zones
Des sous-réseaux par rôle (management, confiance, IoT, lab, DMZ), pas un grand réseau commode.
Default-deny
Entre zones, rien ne passe sans règle explicite et justifiée. La commodité se mérite.
Isoler le management
Le plan d’administration ne se joint que depuis lui-même. C’est la dernière ligne.
Observer les inter-zones
Les logs de pare-feu entre zones racontent ce qui essaie de sortir de sa boîte.
Verbatim
Un homelab plat, c’est un SI miniature avec les mêmes angles morts · et l’occasion gratuite de s’entraîner à les fermer.
· Note de terrain
table inet zones {
  chain forward {
    type filter hook forward priority 0; policy drop;
    ct state established,related accept
    # IoT -> Internet seulement (jamais d'interne)
    iifname "vlan.iot" ip daddr != 10.0.0.0/8 accept
    # Confiance -> services exposés en DMZ
    iifname "vlan.trust" ip daddr 10.0.30.0/24 tcp dport { 443 } accept
    # Management joignable depuis lui-même uniquement (implicite par le drop)
    log prefix "zone-drop " drop
  }
}
Squelette de politique inter-zones · default-deny, ouvertures explicites.
Richard Hofrance Bankouezi
Concevoir la défense.
La tenir · avec vous.
Me contacter
MÉRIDIEN 002 · 47.0°N // 2.3°E · UTC+2
Disponible Q3 2027 · réponse < 48 h
© 2026 Richard Hofrance Bankouezi
Mentions légales · Conditions · Confidentialité