...
| Action | Pourquoi |
|---|---|
Supprimer ancienne règle vers 192.168.20.3 | GLPI n'est plus sur le réseau SRV |
| Archiver l'ancienne conf GLPI | Bonnes pratiques post-migration |
REVERSE PROXY !!!!!!!!!
- Nouvelle vm en dmz 192.168.30.3
- user srvglpi
- installer nginx
- configuration nginx avec reverse proxy
Objectif final :
GLPI reste installé sur ton serveur actuel SRV (
192.168.20.3) dans le LAN
(Pas besoin de tout réinstaller).Tu ne déplaces pas GLPI physiquement (ça évite de tout casser côté LDAP/BD/GLPI).
Tu ajoutes un reverse proxy dans ta DMZ (ex:
192.168.30.3) qui publie GLPI vers l’extérieur.Aucune ouverture directe du LAN vers le WAN.
✅ Plus propre, plus sécurisé, moins de galère.
...
🛠️ Architecture réseau après mise en place :
scss[WAN] ↓ [OPNsense NAT/Firewall] ↓ [DMZ] ↳ Reverse Proxy (Nginx, IP : 192.168.30.3) ↳ redirige vers 192.168.20.3 (GLPI) [LAN] ↳ Serveur GLPI (SRV - IP : 192.168.20.3)
...
🔥 Détail des étapes :
1. Installer un Reverse Proxy (Nginx) en DMZ
VM ou serveur avec IP 192.168.30.3.
Installer Nginx.
Configurer un proxy_pass vers ton GLPI :
| Code Block |
|---|
server {
listen 80;
server_name glpi.tondomaine.fr;
# Redirection automatique vers HTTPS
return 301 https://$host$request_uri;
listen 443 ssl;
server_name glpi.comptaplus.loc;
ssl_certificate /etc/letsencrypt/live/glpi.tondomaine.fr/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/glpi.tondomaine.fr/privkey.pem;
location / {
proxy_pass https://192.168.20.3/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
|
👉 Ici ton Nginx en DMZ reçoit les requêtes HTTPS et renvoie proprement vers ton serveur GLPI interne.
Sur OPNsense (pare-feu) :
2 règles NAT à faire :
| Interface | Source | Port Destination | Redirection interne vers IP DMZ (Reverse Proxy) | Port interne |
|---|---|---|---|---|
| WAN | Any | 80 (HTTP) | 192.168.30.3 (Reverse Proxy) | 80 |
| WAN | Any | 443 (HTTPS) | 192.168.30.3 (Reverse Proxy) | 443 |
3. SSL/TLS
Sur ton reverse proxy, génère un Let’s Encrypt certif SSL directement.
(Tu peux faire en HTTP-01 ou DNS-01 challenge suivant ton domaine.)
...
4. Bonus Sécurité :
Limite l’accès Nginx par IP si besoin.
Active Fail2ban sur le reverse proxy pour bloquer les attaques.
Ajoute un header de sécurité dans ton nginx.conf (
Strict-Transport-Security, etc.).Mets à jour GLPI et tous les composants régulièrement.
...
📋 Résumé rapide :
| Composant | Rôle | IP |
|---|---|---|
| GLPI | Serveur Applicatif | 192.168.20.3 (LAN) |
| Reverse Proxy | Publie GLPI sur Internet | 192.168.30.3 (DMZ) |
| Pare-feu (OPNsense) | NAT + Firewall + Suricata protection |
Sécurité :
| Code Block |
|---|
server {
listen 443 ssl;
server_name glpi.tondomaine.fr;
allow 1.2.3.4; # Ton IP publique perso
allow 5.6.7.8; # Une autre IP autorisée
deny all; # Bloque tout le reste
ssl_certificate /etc/letsencrypt/live/glpi.tondomaine.fr/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/glpi.tondomaine.fr/privkey.pem;
location / {
proxy_pass https://192.168.20.3/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
} |