Pfsense reverse proxy + VM docker

DavidS · Jun 15, 2020, 6:47 AM

Bonjour tout le monde,

J'ai un projet de mise en place de serveur.
Voici mon architecture pour la compréhension de la suite:

J'ai installer un proxmox avec un pfsense en frontal en suivant le tuto suivant. Je voudrai pouvoir utiliser le PFSense en reverse proxy pour accéder à mes sites sur le docker ou a mon serveur jitsi (ou autre serveur).
J'ai installé Squid pour le reverse proxy mais je n'arrive pas effectuer les redirections en https (en http pas de soucis). Je reste bloqué sur le PFSense.
J'ai bien entendu changer le port du WebGUI de pfsense, et effectué l'ouverture des ports 443 et 80 sur le pareFeu

Je ne veux pas que PFSense gère les certificats SSL, Ceux-ci seront gérer par le docker (si possible). J'ai un reverse proxy nginx sur mon docker qui gérer automatiquement mes certificats et leur renouvellement.

Avez-vous une piste à me suggérer ?

je reste à votre disposition pour plus de renseignements.

ccnet · Jun 15, 2020, 8:22 AM

@DavidS said in Pfsense reverse proxy + VM docker:

PFSense en reverse proxy

PFSense est un firewall, il n'est pas adpaté à cet usage.

Je ne veux pas que PFSense gère les certificats SSL
Un vrai revers sait le faire selon plusieurs modalités.
Il est possible qu'un simple nat suffise.

Je crains que vous soyez en pleine confusion en mettant en avant une solution technique avant même d'avoir parfaitement défini le besoin fonctionnel abstraction faite de la solution technique.

DavidS · Jun 15, 2020, 8:34 AM

Merci pour votre réponse @ccnet ,

Oui je sais bien que PFSense est un firewall, ca me permet de sécuriser les accès à mes VM mais je voulais également l'utiliser en reverseProxy le module squid existe et le permet pourquoi s'en priver.
Je ne pense pas qu'un simple NAT suffise puisque j'utilise le port 443 sur plusieurs serveurs au sein du réseau. Ah moins que vous n'ayez un exemple a me donner.
Quand je dis que je ne veux pas que PFSense gère les certificats SSL je parle de ceux de mes sites générés automatiquement par un docker letsencrypt.

ccnet · Jun 15, 2020, 9:17 AM

le module squid existe et le permet pourquoi s'en priver.
Parce que :

Ce n'est pas le code natif de Pfsense mais un addon.
Les concepts de défense en profondeur recommandent fortement l'indépendance des moyens de protection et défense.
3 Les ressources système nécessaires sont très différentes.
Dans votre approche une segmentation réseau, même minimale, est impossible.

un docker letsencrypt.
Je ne connais pas le niveau de confiance requis pour vos certificats. Lestencrypt de ce point de vue c'est le deuxième sous-sol.

DavidS · Jun 15, 2020, 9:22 AM

Ok merci pour les précisions @ccnet .
Donc le mieux serait de dissocier le firewall du reverse proxy ?!
SI j'ai bien compris en gros je devrais rajouter une VM qui servirait exclusivement de proxy derrière le pfsense.

jdh · Jun 15, 2020, 11:25 AM

Vous avez bien compris.
(Et si vous aviez commencé par chercher sur ce forum, vous auriez vu la constance de nos propos ...)

Un reverse proxy sera bien mieux placé ailleurs que sur le firewall, de même qu"un proxy).

DavidS · Jun 15, 2020, 12:24 PM

Merci @jdh