...

• GLPI reste installé sur ton serveur actuel SRV (192.168.20.3) dans le LAN
  (Pas besoin de tout réinstaller).

Tu ne

• Ne déplaces pas GLPI physiquement (ça évite de tout casser côté LDAP/BD/GLPI).

• Tu ajoutes Ajoutes un reverse proxy dans ta DMZ (ex: 192.168.30.3) qui publie GLPI vers l’extérieur.

• Aucune ouverture directe du LAN vers le WAN.

...

• Code Block
  # Aller dans le dossier de config Nginx cd /etc/nginx/sites-available/ # Créer un nouveau fichier pour GLPI sudo nano glpi.conf

  Code Block

  server { listen 80 default_server; server_name _; return 301 https://$host$request_uri; } server { listen 443 ssl default_server; server_name _ glpi.comptaplus.loc; ssl_certificate /etc/nginx/ssl/cert.pem; ssl_certificate_key /etc/nginx/ssl/key.pem; ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; add_header X-Content-Type-Options "nosniff" always; add_header X-Frame-Options "DENY" always; add_header X-XSS-Protection "1; mode=block" always; location / { proxy_pass https://192.168.20.3; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } }

• Code Block
  # Créer un lien symbolique dans sites-enabled sudo ln -s /etc/nginx/sites-available/glpi.conf /etc/nginx/sites-enabled/ # Tester la configuration Nginx pour être sûr qu’il n’y a pas d'erreurs sudo nginx -t # Recharger Nginx pour appliquer la nouvelle config sudo systemctl reload nginx

 Ici ton  Ici  Nginx en DMZ reçoit les requêtes HTTPS et renvoie proprement vers ton vers  le serveur GLPI interne.

Sur OPNsense (pare-feu) :

...