• sans aucun privilège.
• éditer son profil
  • lui donner uniquement les privilèges Diagnostics: PF Table IP addresses
  • créer la clé API et bien sauvegarder les informations de connexion

Firewall ⇒ Aliases de type Host(s) sans renseigner d'ip.

Une pour http, l'autre pour https. Dans le WAN:

 blocage   IPv4+6 TCP/UDP 	alias_ci_dessus  	* 	alias-HAProxy 	80 (HTTP) 	* 	* 	blocage http fail2ban 
 blocage   IPv4+6 TCP/UDP 	alias_ci_dessus  	* 	alias-HAProxy 	443 (HTTPS) 	* 	* 	blocage http fail2ban 

Il faut maintenant que le “real server” puisse se connecter à OPNSense via une ligne de commande “curl” pour indiquer la/les ip(s) à assigner à l'alias de blocage.
Cette communication s'effectue en https. Il faut donc:

1. Créer si nécessaire une règle de passage TCP dans le firewall:
   Source = le real server , destination = l'adresse de OPNsense située dans le réseau du real server , port = celui utilisé pour joindre l'interface web GUI.
2. Configurer si nécessaire l'interface web pour qu'elle soit joignable depuis le réseau du real server:
   System ⇒ Settings ⇒ Administration ⇒ Web GUI ⇒ Listen interfaces

Maintenant cette communication s'effectue via un script lancé depuis le real server. communiquer_avec_opnsense