Ce fil montre qu'à partir d'une question, on peut largement partir en vrille.
Il est particulièrement mal intentionné d'aller modifier des règles par une autre interface que celle du firewall. (Ca c'est la mauvaise idée).
(En plus, la voie du ssh est particulièrement inconsciente car quasi impossible à mettre en oeuvre.)
Juve cite les XML/RPC. Et dans RPC, il y a Remote Procedure Call ! C'est la méthode contrôlée et prévue pour faire ce genre de chose. On peut, par exemple, penser que c'est le moyen utilisé pour synchroniser 2 firewalls via CARP.
Mais, de toute façon, ce n'est TRES certainement pas la bonne méthode pour répondre à la question sous-jacente.
La question est "je veux autoriser ou interdire la navigation web à X selon des critères".
La BONNE réponse (i.e. la réponse efficace ou la réponse opérationnelle) à cette question est de trouver un moyen d'authentification qui sera obligatoirement utilisé, et que cette authentification donnera un accord en fonction des critères.
Et là, il n'y a aucune règle à modifier !
La suggestion d'un annuaire LDAP est une excellente piste car Squid/SquidGuard est capable d'interroger un annuaire LDAP … en ajoutant une condition. Or il est assez aisé de mettre à jour un annuaire LDAP à partir de PHP.
Perso, je fais quelque chose qui, dans le principe, ressemble : j'identifie les pc autorisés par leur adresse ip (c'est assez aisé à contourner mais ...), et bien, j'ai créé une petite base MySQL avec mise à jour par une petite interface PHP qui permet de créer un fichier texte "partie" du fichier de conf de SquidGuard. Un cron plus tard, j'autorise ou interdit en moins de 2' l'adresse ip que je veux !
(Je ne ferais aucun commentaire sur la confusion iptables vs pfSense.)