| Ătape | Action |
|---|---|
| đ | Ouvre dnsmgmt.msc sur ton DC |
| âïž | Modifie lâentrĂ©e A glpi.comptaplus.loc |
| đ | Nouvelle IP = 192.168.30.3 (DMZ) |
| đĄ | Vide le cache DNS : ipconfig /flushdns sur serveur et postes |
| Source | Destination | Ports | Description |
|---|---|---|---|
LAN net | 192.168.30.3 | TCP 80, 443 | AccĂšs Web GLPI |
| Source | Destination | Port | Description |
|---|---|---|---|
192.168.30.3 |
| TCP 636 | Authentification LDAP sécurisée |
PORT FORWARDÂ
| Type | DĂ©tail | |||||||
|---|---|---|---|---|---|---|---|---|
| PAT | WAN | TCP/UDP | * | * | WAN net | http /https | 192.168.20.3 | http/https |
| Firewall | Autoriser TCP 443 sur lâinterface WAN (auto ou manuel) |
| Source | Destination | Port(s) | Description |
|---|---|---|---|
192.168.30.3 | * | 53, 443 | DNS + MAJ, accĂšs web externe |
| Source | Destination | Port | Description |
|---|---|---|---|
192.168.10.1 (PC_ADM) | 192.168.30.3 | TCP 22 | Administration SSH du serveur GLPI |
| Test | Commande ou action |
|---|---|
| RĂ©solution DNS | nslookup glpi.comptaplus.loc â doit donner 192.168.30.3 |
| Agent GLPI | glpi-agent --debug --no-fork |
| AccĂšs Web | https://glpi.comptaplus.loc depuis LAN et depuis Internet |
| LDAPS | VĂ©rifie dans GLPI : connexion LDAP â OK |
| SSH | ssh glpi@192.168.30.3 depuis 192.168.10.1 |
| Action | Pourquoi |
|---|---|
Supprimer ancienne rÚgle vers 192.168.20.3 | GLPI n'est plus sur le réseau SRV |
| Archiver l'ancienne conf GLPI | Bonnes pratiques post-migration |
GLPI reste installé sur ton serveur actuel SRV (192.168.20.3) dans le LAN
(Pas besoin de tout réinstaller).
Ne déplaces pas GLPI physiquement (ça évite de tout casser cÎté LDAP/BD/GLPI).
Ajoutes un reverse proxy dans ta DMZ (ex: 192.168.30.3) qui publie GLPI vers lâextĂ©rieur.
Aucune ouverture directe du LAN vers le WAN.
â Plus propre, plus sĂ©curisĂ©, moins de galĂšre.
scss[WAN]
â
[OPNsense NAT/Firewall]
â
[DMZ]
âł Reverse Proxy (Nginx, IP : 192.168.30.3)
 n    Ⳡredirige vers 192.168.20.3 (GLPI)
[LAN]
âł Serveur GLPI (SRV - IP : 192.168.20.3)
VM ou serveur avec IP 192.168.30.3.
Installer Nginx.
# 1. Mettre Ă jour le systĂšme sudo apt update sudo apt upgrade -y # 2. Installer Nginx sudo apt install nginx -y # 3. VĂ©rifier que Nginx est bien installĂ© et actif sudo systemctl status nginx # 4. DĂ©marrer Nginx si besoin sudo systemctl start nginx # 5. Activer Nginx pour quâil se lance automatiquement au dĂ©marrage sudo systemctl enable nginx |
Configurer un proxy_pass vers ton GLPI :
gĂ©nĂ©rer un certificatÂ
Annexe 1 : Crée un certificat avec ADCS (pour un serveur web)
# Aller dans le dossier de config Nginx cd /etc/nginx/sites-available/ # Créer un nouveau fichier pour GLPI sudo nano glpi.conf |
 server {
listen 80 default_server;
server_name _;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl default_server;
server_name _ glpi.comptaplus.loc;
ssl_certificate /etc/nginx/ssl/cert.pem;
ssl_certificate_key /etc/nginx/ssl/key.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "DENY" always;
add_header X-XSS-Protection "1; mode=block" always;
location / {
proxy_pass https://192.168.20.3;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
|
# CrĂ©er un lien symbolique dans sites-enabled sudo ln -s /etc/nginx/sites-available/glpi.conf /etc/nginx/sites-enabled/ # Tester la configuration Nginx pour ĂȘtre sĂ»r quâil nây a pas d'erreurs sudo nginx -t # Recharger Nginx pour appliquer la nouvelle config sudo systemctl reload nginx |
 Ici Nginx en DMZ reçoit les requĂȘtes HTTPS et renvoie proprement vers le serveur GLPI interne.
1 rĂšgles NAT Ă faire :
| Interface | Source | Port Destination | Redirection interne vers IP DMZ (Reverse Proxy) | Port interne |
|---|---|---|---|---|
| W AN | Any | 443 (HTTPS) | 192.168.30.3 (Reverse Proxy) | 443 |