Question sur la configuration de Squid pour du multi-domaine (1 IP)


  • Contexte : Perso

    Besoin :

    • Création d'un reverse proxy avec plusieurs Domaine avec leur certificat SSL fonctionnel avec une IP.
    • Utilisation d’un certificat pour chaque applicatif ou service. (Web, FTP, Serveur multimédia etc.)

    Schéma :

    • 1 Réseau physique qui sera gérer par le routeur physique.
    • 1 Réseau virtuel qui sera gérer par la VM pfSense.

    Machine :

    • Un serveur qui dispose d'une interface physique avec deux ponts.
    • Le pont 1 (vmbr0) est reliée à l'interface physique enp4s0.
    • Le pont 2 (vmbr1) est reliée à rien.

    WAN Physique (routeur) : 192.168.1.0/24

    LAN Virtuel (pfSense) : 192.168.10.0/24

    DMZ (routeur) : 192.168.1.4 (PfSense)

    WIFI : Oui

    Autres interfaces : LAN

    Règles WAN :

    • Protocole HTTPS (443) ouvert en général
    • Protocole HTTP (80) ouvert en général

    Package ajoutés : Acme, Squid et Snort

    Autres fonctions assignées au pfSense : Reverse-Proxy

    Questions : Demande de précision et d’information

    Bonjour,

    Je souhaiterai avoir vos avis sur mon réseau pour savoir s’il est logique comment je l’ai configuré. (Réseaux, DMZ, sécurité etc.)

    Domaine 1 : associationhumanproject.com (Rapidssl)
    L’ajout du certificat SSL pour le domaine 1 a été ajouter via une demande CSR.

    Domaine 2 : drthrax74.ddns.net (Let’s encrypt)
    La demande de certificat s’est faite via le plugin Acme qui s’est bien déroulée.

    J’aimerai savoir comment configurer mon pfSense pour la bonne prise en charge du SSL.

    Le domaine 1 est opérationnel. (Règle dans Squid)
    Le domaine 2 est à configurer. (Aucune règle dans Squid)

    Recherches : Internet mais pour ce type d'utilisation je n’ai pas eu toutes les informations souhaitées.

    Logs et tests : complément de "Recherches" : quels sont les résultats des tests effectués (section qui ne peut être vide !)

    --------------------------------------------------------------------------------------------------------

    Quelque screen : (Chaque partie a été séparer pour permettre l'intégration au réponse)

    Configuration du réseau depuis le Routeur :
    alt text

    Configuration du réseau depuis le serveur :
    alt text

    **Certificats: **
    alt text

    Squid General Settings
    alt text

    Squid Reverse Proxy General Settings
    alt text

    Squid Reverse HTTP Settings alt text

    Squid Reverse HTTPS Settings

    alt text

    Webconfigurator
    alt text


  • Je ne suis pas certain que le firewall soit le bon lieu pour faire du reverse-proxy (Squid est un package donc n'est pas créé par la Team Firewall ! En sus cela alourdit et fragilise le firewall !))

    Il me semble bien plus logique de dédier une machine (en DMZ) à la fonction de Reverse Proxy.

    Par exemple avec le projet Vulture


  • @jdh said in Question sur la configuration de Squid pour du multi-domaine (1 IP):

    Je ne suis pas certain que le firewall soit le bon lieu pour faire du reverse-proxy (Squid est un package donc n'est pas créé par la Team Firewall ! En sus cela alourdit et fragilise le firewall !))

    Il me semble bien plus logique de dédier une machine (en DMZ) à la fonction de Reverse Proxy.

    Par exemple avec le projet Vulture

    Bonjour @jdh ,

    L'idée de Vulture est pas mal, j'en prends note et je vais voir pour l'intégrer à mon infrastructure.

    Je t'en remerci.