Cartographie des flux¶

Générée depuis les dumps nftables (input uniquement)
Chaque flèche représente un flux autorisé en INPUT par les règles actives
⚠️ Output : policy accept sur tous les conteneurs — flux sortants non maîtrisés

Légende¶¶

[](https://mkdocs.olcal.freeddns.org/Cartographie%20des%20flux/#__codelineno-0-1)→ flux autorisé (input) [](https://mkdocs.olcal.freeddns.org/Cartographie%20des%20flux/#__codelineno-0-2)🟢 input correctement restreint à une IP/source précise [](https://mkdocs.olcal.freeddns.org/Cartographie%20des%20flux/#__codelineno-0-3)🟡 input autorisé depuis tout le LAN (10.42.0.0/19 ou /16) [](https://mkdocs.olcal.freeddns.org/Cartographie%20des%20flux/#__codelineno-0-4)🔴 input ouvert sans restriction source (Internet) [](https://mkdocs.olcal.freeddns.org/Cartographie%20des%20flux/#__codelineno-0-5)⚠️ anomalie détectée

Vue globale — Groupes fonctionnels¶¶

Syntax error in textmermaid version 11.13.0

Détail par groupe¶¶

🔵 DNS / NTP¶¶

Syntax error in textmermaid version 11.13.0

Note : tdns et tdns2 se font confiance mutuellement sur le port 53443 (sync DNS secondaire). Architecture DNS primaire/secondaire correcte.

🟣 Reverse Proxy¶¶

Syntax error in textmermaid version 11.13.0

⚠️ 8080 dashboard : autorisé depuis 10.42.0.0/16 (tout le réseau, pas seulement /19). Plus large que les autres LXC.

🎬 Média¶¶

Syntax error in textmermaid version 11.13.0

⚠️ qbittorrent : les ports BT (52144, 6771) sont restreints au LAN — qBittorrent ne peut recevoir de connexions peers depuis Internet en input. Mais en output (non contrôlé), il peut contacter des trackers et peers librement.
⚠️ radarr : src IPv4 = 10.10.0.0/20 — incohérent avec le reste du LAN (10.42.x.x). Probablement un résidu de config.

🤖 IA / RAG¶¶

Syntax error in textmermaid version 11.13.0

Note : ollama accepte depuis /16 (plus large que les autres). Cohérent avec le fait que plusieurs LXC dans des sous-réseaux différents y accèdent.

🗄️ Données¶¶

Syntax error in textmermaid version 11.13.0

🔴 ANOMALIE CRITIQUE — docmost : le port 3000 est ouvert sans restriction de source (src: None). Si Traefik expose docmost vers Internet, c'est acceptable via le reverse proxy — mais en direct depuis n'importe quelle IP, c'est un risque. À restreindre au LAN ou à l'IP de Traefik.

📊 Observabilit鶶

Syntax error in textmermaid version 11.13.0

Note : prometheus 9100 (node_exporter) n'accepte que localhost — il se scrape lui-même. Propre.

🛡️ Sécurité / SIEM¶¶

Syntax error in textmermaid version 11.13.0

🔴 ANOMALIE — wazuh : ports 55000 (API REST Wazuh), 443 et 5601 (Kibana) ouverts sans restriction de source. Si Traefik ne filtre pas en amont, l'API Wazuh et Kibana sont potentiellement accessibles depuis Internet. À restreindre au LAN ou à l'IP Traefik.

Résumé des anomalies détectées¶¶

Plan output whitelist par groupe (prochaine étape)¶¶