...

Code Block
# Aller dans le dossier de config Nginx cd /etc/nginx/sites-available/ # Créer un nouveau fichier pour GLPI sudo nano glpi.conf

Code Block

  GNU nano 7.2                                                                                         /etc/nginx/sites-available/glpi.conf                                                                                                  ##
##  Reverse-proxy GLPI – DMZ (192.168.30.2)
##  Accès WAN : https://10.192.0.249
##  Backend   : http://192.168.20.3
##

# ───────────────────────────────
#  1) Redirection HTTP  → vers HTTPS
# ───────────────────────────────
server {
    listen      80  default_server;
    server_name glpi.comptaplus.loc;
_;                          # accepte n’importe quel Host ou IP
    return 301 https://$host$request_uri;
}

# ───────────────────────────────
#  Reverse2) ProxyBloc HTTPS « catch-all »
# ───────────────────────────────
server {
    listen      443 ssl default_server;
    server_name _  glpi.comptaplus.loc;     # IP 10.192.0.249 + FQDN interne

    # ←  fichiers auto-signés (générés avec SAN = IP   [+ DNS si tu veux])
    ssl_certificate     /etc/letsencryptnginx/live/glpi.tondomaine.fr/fullchainssl/cert.pem;
    ssl_certificate_key /etc/letsencryptnginx/livessl/glpi.tondomaine.fr/privkey.pemkey.pem;

    # Harden SSL (basique)
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;

    # Headers de sécurité
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-Frame-Options "DENY" always;
    add_header X-XSS-Protection "1; mode=block" always;

    # ── Reverse-proxy ──────────────────────────────────────────────
    location / {
        proxy_pass https://192.168.20.3/;;           # AdresseHTTP interne de(terminaison ton serveur GLPITLS ici)
        proxy_set_header Host              $host;
        proxy_set_header X-Real-IP         $remote_addr;
        proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
        proxy_ssl_verify off; # À activer si tu as un vrai certificat sur ton GLPI interneset_header X-Forwarded-Proto $scheme;
    }
}

Code Block

# Créer un lien symbolique dans sites-enabled
sudo ln -s /etc/nginx/sites-available/glpi.conf /etc/nginx/sites-enabled/

# Tester la configuration Nginx pour être sûr qu’il n’y a pas d'erreurs
sudo nginx -t

# Recharger Nginx pour appliquer la nouvelle config
sudo systemctl reload nginx

👉 Ici Ici ton Nginx en DMZ reçoit les requêtes HTTPS et renvoie proprement vers ton serveur GLPI interne.

Sur OPNsense (pare-feu) :

2 1 règles NAT à faire :

Interface	Source	Port Destination	Redirection interne vers IP DMZ (Reverse Proxy)	Port interne

WAN	Any	80 (HTTP)	192.168.30.3 (Reverse Proxy)	80
WANW AN	Any	443 (HTTPS)	192.168.30.3 (Reverse Proxy)	443

📋 Résumé rapide :

Composant	Rôle	IP
GLPI	Serveur Applicatif	192.168.20.3 (LAN)Reverse Proxy	Publie GLPI sur Internet	192.168.30.3 (DMZ)	Pare-feu (OPNsense)	NAT + Firewall + Suricata protection

Sécurité :

...

443

...

Page tree

Versions Compared

Old Version 11

New Version 12

Key

Sur OPNsense (pare-feu) :

📋 Résumé rapide :

Page tree

Page History

Versions Compared

Old Version 11

New Version 12

Key

Sur OPNsense (pare-feu) :

📋 Résumé rapide :