Bloquer l'accès Internet d'un périphérique avec UniFi Network

Historique de révision

Dans nos installations domotiques, nous intégrons de plus en plus d'objets connectés, et pour nombre d'entre eux, un accès cloud est proposé par les constructeurs.

Vos caméras, thermostats, prises connectées ou autres objets domotiques n'ont pas forcément besoin de faire des échanges en permanence avec les serveurs des fournisseurs qui sont dans le cloud. Pire, ces connexions constantes peuvent exposer votre réseau à des failles de sécurité et transmettre vos données personnelles sans que vous en ayez réellement besoin.

Sur de nombreux périphériques que je possède, je ne me sers jamais des accès cloud proposés et souhaite donc leur bloquer l'accès à Internet, pour éviter d'exposer mon réseau domestique aux failles potentielles ou tentatives d'attaques ainsi que protéger notre vie privée.

Bonus, ce blocage peut également servir à bloquer l'accès Internet

Prérequis

Pour suivre ce tutoriel, vous aurez besoin d'un équipement UniFi qui fait office de routeur, par exemple :

• Cloud Gateway Ultra
• UDR 7 (UniFi Dream Router)
• UDM-Pro (celui que j'utilise personnellement)

Pourquoi actualiser ce tutoriel ?

Un article existait déjà sur ce sujet, mais UniFi Network a considérablement évolué depuis 2021. L'ancienne méthode utilisait des règles de pare-feu l'IPv4, ce qui fonctionnait bien… jusqu'au déploiement de l'IPv6 sur nos réseaux domestiques. Résultat : nos équipements contournaient allègrement les règles via IPv6 et continuaient à communiquer avec Internet !

La nouvelle méthode que nous allons voir agit directement sur les appareils eux-mêmes, peu importe le protocole utilisé (IPv4 ou IPv6). Cette solution est plus simple, plus efficace et plus pérenne.

Nommer vos appareils

Avant de créer des règles, il est essentiel de bien identifier vos équipements. C'est une bonne pratique qui vous simplifiera la gestion du réseau et vous évitera bien des confusions par la suite.

Pour cela, rendez-vous sur l'interface de contrôle d'UniFi Networks :

1. Ouvrez l'onglet "Appareils clients".
2. Sélectionnez l'équipement que vous souhaitez renommer.
3. Dans l'encart qui s'ouvre à droite, basculez sur l'onglet "Configuration".
4. Renseignez un nom explicite (par exemple : "Prise sapin" plutôt que "ESP32-A4B2C8").

Créer la politique de pare-feu

Maintenant que vos appareils sont correctement identifiés, nous allons créer la règle qui va bloquer l'accès Internet sur les appareils que l'on souhaite :

1. Allez dans "Paramètres"
2. Cliquez sur l'icône "Table des politiques".
3. Cliquez sur "Créer une nouvelle politique".
4. Configurez la politique comme suit :
   • Type : Pare-feu
   • Nom : Donnez lui un nom explicite (ex: "Blocage vers internet")
   • Action : Bloquer
   • Zone source : Interne
   • Type de source : Appareil
   • Appareils : Sélectionnez les appareils à bloquer (vous pouvez en choisir plusieurs)
   • Zone cible : Externe
5. Cliquez sur "Ajouter une politique".

La règle sera déployée automatiquement sur votre réseau et peut prendre jusqu'à une minute pour être effective.

Vérification

Pour vérifier que la règle fraichement ajoutée fonctionne correctement, plusieurs points sont à considérer :

• Vos appareils doivent rester accessibles localement.
• Ils ne doivent plus pouvoir communiquer avec Internet.

Vous pouvez vérifier dans les logs du pare-feu ("Paramètres" > "Insights" > "Logs") que les tentatives de connexion sont bien bloquées.
Vous pouvez également, si vous l'aviez configuré, de vous connecter ou tenter de récupérer des informations depuis l'application de la marque.

Sur un équipement Linux ou Windows, vous pouvez essayer les commandes ping -4 google.fr et ping -6 google.fr . Aucun paquet ne devrait réussir à passer.

Gestion des exceptions

Et si mon appareil a besoin d'une mise à jour ?

Si vous devez ponctuellement autoriser l'accès Internet pour une mise à jour du firmware par exemple :

1. Retournez dans la "Table des politiques".
2. Retirez temporairement l'appareil concerné de la règle.
3. Effectuez la mise à jour.
4. Pensez à remettre l'appareil dans la politique à la fin de la procédure.

Cas d'usage : limiter l'accès à Internet de vos enfants

Le blocage de l’accès à Internet peut aussi avoir un usage très concret dans un cadre familial, notamment pour les enfants. L’objectif n’est pas de surveiller en permanence, mais de poser un cadre clair et cohérent : couper Internet pendant les devoirs, empêcher l’accès la nuit, ou limiter certains appareils précis (tablette, console, PC) permet d’instaurer des règles simples et compréhensibles.

Dans la pratique, c’est souvent plus efficace qu’un contrôle parental applicatif, facilement contournable. Bien utilisé, ce type de blocage devient un outil du quotidien, au même titre qu’un temps d’écran défini, et permet de reprendre la main sans entrer dans une logique de surveillance permanente.

Au moment de la création de la règle pare-feu, vous pouvez spécifier une plage horaire pendant laquelle la règle sera appliquée. Soit vous choisissez de bloquer Internet sur certains appareils utilisés par les enfants pendant une période, ou d'autoriser seulement pendant une plage horaire précise.

Conclusion

Ce tutoriel est plus court que la première version, ce qui témoigne des améliorations apportées par Ubiquiti à son interface. La nouvelle méthode, basée sur les politiques, est non seulement plus simple, mais également plus robuste face à l'évolution des protocoles réseau.

Vos objets connectés continueront de fonctionner parfaitement en local, tout en étant coupés du monde extérieur. Un bon compromis entre fonctionnalité et sécurité !

Vous pouvez laisser un commentaire ou venir sur notre groupe Telegram si vous rencontrez un souci lors de l'application de cet article, ou simplement pour discuter avec l'équipe et la communauté !