...
| Action | Pourquoi |
|---|---|
Supprimer ancienne règle vers 192.168.20.3 | GLPI n'est plus sur le réseau SRV |
| Archiver l'ancienne conf GLPI | Bonnes pratiques post-migration |
REVERSE PROXY !!!!!!!!!
- Nouvelle vm en dmz 192.168.30.3
- user srv
- installer nginx
- configuration nginx avec reverse proxy
Objectif final :
GLPI reste installé sur ton serveur actuel SRV (
192.168.20.3) dans le LAN
(Pas besoin de tout réinstaller).Ne déplaces pas GLPI physiquement (ça évite de tout casser côté LDAP/BD/GLPI).
Ajoutes un reverse proxy dans ta DMZ (ex:
192.168.30.3) qui publie GLPI vers l’extérieur.Aucune ouverture directe du LAN vers le WAN.
✅ Plus propre, plus sécurisé, moins de galère.
...
🛠️ Architecture réseau après mise en place :
scss[WAN] ↓
[OPNsense NAT/Firewall]
↓
[DMZ] ↳ Reverse Proxy (Nginx, IP : 192.168.30.3)
n ↳ redirige vers 192.168.20.3 (GLPI)
[LAN] ↳ Serveur GLPI (SRV - IP : 192.168.20.3)
...
🔥 Détail des étapes :
1. Installer un Reverse Proxy (Nginx) en DMZ
VM ou serveur avec IP 192.168.30.3.
Installer Nginx.
Code Block # 1. Mettre à jour le système sudo apt update sudo apt upgrade -y # 2. Installer Nginx sudo apt install nginx -y # 3. Vérifier que Nginx est bien installé et actif sudo systemctl status nginx # 4. Démarrer Nginx si besoin sudo systemctl start nginx # 5. Activer Nginx pour qu’il se lance automatiquement au démarrage sudo systemctl enable nginxConfigurer un proxy_pass vers ton GLPI :
générer un certificat
Annexe 1 : Crée un certificat avec ADCS (pour un serveur web)
Code Block # Aller dans le dossier de config Nginx cd /etc/nginx/sites-available/ # Créer un nouveau fichier pour GLPI sudo nano glpi.confCode Block server { listen 80 default_server; server_name _; return 301 https://$host$request_uri; } server { listen 443 ssl default_server; server_name _ glpi.comptaplus.loc; ssl_certificate /etc/nginx/ssl/cert.pem; ssl_certificate_key /etc/nginx/ssl/key.pem; ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; add_header X-Content-Type-Options "nosniff" always; add_header X-Frame-Options "DENY" always; add_header X-XSS-Protection "1; mode=block" always; location / { proxy_pass https://192.168.20.3; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } }Code Block # Créer un lien symbolique dans sites-enabled sudo ln -s /etc/nginx/sites-available/glpi.conf /etc/nginx/sites-enabled/ # Tester la configuration Nginx pour être sûr qu’il n’y a pas d'erreurs sudo nginx -t # Recharger Nginx pour appliquer la nouvelle config sudo systemctl reload nginx
Ici Nginx en DMZ reçoit les requêtes HTTPS et renvoie proprement vers le serveur GLPI interne.
Sur OPNsense (pare-feu) :
1 règles NAT à faire :
| Interface | Source | Port Destination | Redirection interne vers IP DMZ (Reverse Proxy) | Port interne |
|---|---|---|---|---|
| W AN | Any | 443 (HTTPS) | 192.168.30.3 (Reverse Proxy) | 443 |