Problème communication serveur DMZ



  • Bonjour à tous !

    Je rencontre actuellement des difficultés a faire communiquer deux serveurs situés derrière un pfSense. Ayant fait le tour côté config des serveurs, je me demande donc si le problème ne viendrait pas d'une mauvaise configuration de pfSense, par exemple une règle manquante.

    Mon pfSense dispose de trois interfaces : WAN - LAN - DMZ

    Mes deux serveurs se trouvent sur l'interface DMZ:

    • Serveur 1 : reverse proxy nginx en écoute sur le port 80
    • Serveur 2 : service web

    La configuration suivante ne fonctionne pas :

    • Serveur 2 : service web sur le port 3000
    • Serveur 1 : en écoute sur le port 80
    • Serveur 1 : redirection pour le domaine mondomaine.tld (port 80) vers le serveur 2 sur le port 3000
      –--> accès à mondomaine.tld KO : Erreur nginx 502 bad gateway (plus "connection refused" dans les logs)
          + accès à l'ip locale du serveur 2 sur le port 3000 (via pc sur la patte LAN) OK

    Ce qui m’interroge, c'est que la configuration suivante fonctionne :

    • Serveur 2 : service web sur le port 80 (au lieu de 3000)
    • Serveur 1 : en écoute sur le port 80
    • Serveur 1 : redirection pour le domaine mondomaine.tld (port 80) vers le serveur 2 sur le port 80 (au lieu de 3000)
      ----> accès a mondomaine.tld OK, cela fonctionne. J'en déduis donc que :
      1- cela ne provient pas du serveur nginx
      2- ayant vidé iptables sur le serveur 2, celui-ci n'a aucune raison de refuser la connexion

    D'où mon interrogation sur la possibilité d'une règle manquante côté pfSense.

    Merci d'avance :)



  • Bonjour,

    Tes 2 serveurs étant dans la DMZ, s'ils ne communiquent pas bien entre eux, je vous pas le lien avec pfSense …
    Un petit dessin avec des infos serait un plus ...



  • C'est loin d'être complet comme présentation : cf le fil A LIRE EN PREMIER.
    Néanmoins on peut comprendre quelque chose …

    (WAN) pfSense (DMZ)

    en dmz : 2 serveurs dont le premier joue le rôle de reverse proxy pour le 2ième serveur.

    Or si le 2ième serveur (web) écoute sur le port 3000, le reverse proxy ne fonctionne pas
    et si le port d'écoute est 80, le reverse proxy fonctionne

    Moi, je conclue que

    • pfsense fait son job de redirection de flux port 80
    • la config de reverse proxy n'est pas bien configuré quant le port est 3000

    (Conclusion inverse à vous !)



  • A priori même conclusion que jdh.
    Au delà je ne comprend pas les raisons de cette architecture, surtout je n'en vois pas l'intérêt pas plus que placer nginx de server2 en écoute sur 3000 pour http.


Log in to reply