Pare-feu Windows (règles entrantes)

Le pare-feu Windows avec sécurité avancée filtre le trafic entrant vers votre VPS. Sur un serveur exposé sur Internet, des règles entrantes précises réduisent la surface d'attaque tout en laissant passer les services nécessaires (RDP, HTTP, SQL, etc.).

Prérequis

• VPS Windows Server avec droits Administrateur
• Liste des ports et protocoles à autoriser (TCP/UDP)
• IP sources fixes si possible (bureau, autre VPS)

Le pare-feu réseau HolyCloud (espace client) complète le pare-feu OS : configurez les deux de manière cohérente.

Comprendre les profils

| Profil | Usage typique |

|--------|----------------|

| Domain | Machine jointe à un domaine AD |

| Private | Réseau de confiance |

| Public | Internet — profil par défaut sur VPS |

Vérifiez le profil actif des interfaces :

Get-NetConnectionProfile | Select-Object InterfaceAlias, NetworkCategory

Pour forcer Private sur une carte (si approprié) :

Set-NetConnectionProfile -InterfaceAlias 'Ethernet' -NetworkCategory Private

Interface graphique : règle entrante simple

1. wf.msc → Règles de trafic entrant → Nouvelle règle.
2. Type : Port → TCP → ports spécifiques (ex. 80,443).
3. Action : Autoriser la connexion.
4. Profils : cochez selon votre politique (souvent Public sur VPS).
5. Nom : HTTP HTTPS Web.

PowerShell : autoriser HTTP et HTTPS

New-NetFirewallRule -DisplayName 'HTTP Inbound' -Direction Inbound `
  -Protocol TCP -LocalPort 80 -Action Allow -Profile Public

New-NetFirewallRule -DisplayName 'HTTPS Inbound' -Direction Inbound `
  -Protocol TCP -LocalPort 443 -Action Allow -Profile Public

Restreindre RDP à une IP source

New-NetFirewallRule -DisplayName 'RDP Admin Bureau' -Direction Inbound `
  -Protocol TCP -LocalPort 3389 -RemoteAddress 198.51.100.42 -Action Allow -Profile Any

New-NetFirewallRule -DisplayName 'RDP Block Others' -Direction Inbound `
  -Protocol TCP -LocalPort 3389 -Action Block -Profile Any

L'ordre d'évaluation utilise la priorité et la spécificité ; vérifiez dans wf.msc que la règle Allow n'est pas masquée par une règle plus générale en conflit.

Règle pour un programme (exécutable)

New-NetFirewallRule -DisplayName 'IIS Worker' -Direction Inbound `
  -Program 'C:\Windows\System32\inetsrv\w3wp.exe' -Action Allow -Profile Public

Utile quand le port est dynamique ou pour limiter à un binaire précis.

Lister et auditer les règles entrantes

Get-NetFirewallRule -Direction Inbound -Enabled True |
  Select-Object DisplayName, Action, Profile |
  Sort-Object DisplayName

Détail avec ports :

Get-NetFirewallPortFilter | Get-NetFirewallRule -Direction Inbound |
  Where-Object { $_.Enabled -eq 'True' } |
  ForEach-Object {
    [PSCustomObject]@{
      Name = $_.DisplayName
      Ports = (Get-NetFirewallPortFilter -AssociatedNetFirewallRule $_).LocalPort
    }
  }

Désactiver ou supprimer une règle

Disable-NetFirewallRule -DisplayName 'HTTP Inbound'
Remove-NetFirewallRule -DisplayName 'HTTP Inbound'

Journalisation des connexions bloquées

Activez la journalisation du pare-feu pour diagnostiquer :

Set-NetFirewallProfile -Profile Public -LogAllowed False -LogBlocked True `
  -LogFileName '%systemroot%\system32\LogFiles\Firewall\pfirewall.log' -LogMaxSizeKilobytes 16384

Consultez les derniers blocs :

Get-Content $env:SystemRoot\System32\LogFiles\Firewall\pfirewall.log -Tail 30

Bonnes pratiques sur VPS HolyCloud

• Principe du moindre privilège : un port = une règle nommée explicite.
• Ne dupliquez pas des règles Allow Any sur 0.0.0.0/0 si une IP source suffit.
• Après installation d'un rôle (IIS, SQL), vérifiez les règles créées automatiquement par le rôle.
• Testez depuis l'extérieur :

# depuis un autre poste
Test-NetConnection -ComputerName IP_VPS -Port 443

Dépannage

| Symptôme | Action |

|----------|--------|

| Service local OK, inaccessible depuis Internet | Pare-feu HolyCloud + règle Windows ; Test-NetConnection |

| RDP OK puis bloqué | Nouvelle règle Block ; ordre des règles |

| IIS inaccessible | Règle port 80/443 ; profil Public ; binding IIS |

| Trop de règles | Export puis nettoyage : Get-NetFirewallRule → désactiver doublons |

Export des règles (sauvegarde) :

netsh advfirewall export "C:\Backup\fw-rules-$(Get-Date -Format yyyyMMdd).wfw"

Import :

netsh advfirewall import "C:\Backup\fw-rules-20260619.wfw"

Besoin d'aide ?

Si le trafic est bloqué malgré des règles OS correctes, indiquez au support l'IP du VPS, le port et le résultat de Test-NetConnection depuis l'extérieur.