Bonjour tout le monde,
J'avais le souhait de créer une DMZ dans mon réseau et d'y mettre tous mes conteneurs accessibles depuis l'extérieur.
Je voulais y ajouter un "vrai" firewall (détection intrusion, blocage par liste IP...) en amont pour gérer la sécurité.
A défaut de mettre une machine dédiée (le coup n'est pas négligeable pour un routeur firewall 4 ports 2,5Gb/s), j'ai installé 'IPFire' dans une VM et définis carte réseau virtuelle sur mon Proxmox (j'ai deux NIC physique dessus).
J'ai fais ce choix plutôt que OPNSense ou PFSense qui sont tous les deux basés sur FreeBSD (que je ne maîtrise pas)...
Par contre la configuration du firewall est beaucoup plus complexe du faite qu'il y ai 3 zones et 3 interfaces réseau. J'ai parfois du mal à capter les règles de firewall entre zones, surtout qu'il y a plus de paramètres que sur un firewall basique comme Proxmox ou OMV
Le jour ou je souhaiterais déployer le firewall sur une machine dédiée, je n'aurais rien à modifier coté réseau, je garderais le même adressage pour mes 3 zones.
J'en ai profité pour faire des gros changements :
- Redéployer un vrai NAS chez moi et y centraliser tous les partages sur le LAN (via NFS)
- C'est mon NAS qui vas gérer tous les backup vers un 2eme petit NAS via rsync ssh.
- Enlever Docker de Proxmox (un conteneur dans un conteneur...)
- L’environnement Docker (que du LAN) est maintenant géré au niveau d'OMV
- J'ai viré Swag et VaultWarden qui me monopolisait un conteneur avec Docker sur mon Proxmox. J'ai migré sur KeepPassXC (agréablement surpris par le logiciel), cela me conviens car je me sers du gestionnaire de mot de passe que dans mon LAN.
- J'ai viré PiHole car il n'est pas compatible avec IPFire qui gère lui même le DNS. Je lui ai ajouté un script pour ajouter des listes de filtrage : https://github.com/sfeakes/ipfire-scripts#unbound-nxdomain
- J'ai déployé le plugin 'Nginx' au niveau du firewall IPFire. Je lui ai rajouté aussi un script : https://github.com/mitchellkrogza/nginx-ultimate-bad-bot-blocker pour augmenter la sécurité au niveau de la DMZ (mais bon le Firewall bloque déjà pas mal de chose de lui même).
Voila le schéma actuelle avec mes 3 zones : RED, ORANGE et GREEN :
La DMZ est opérationnelle. Je termine l'installation des derniers Docker sur le NAS OMV1
Il me restera a reconfigurer tous les backups. J'ai décidé de rajouter Borg Backup en incrémentiel que j'ai déjà testé et utilisé chez un client et qui fait bien le job.
Il y a un plugin sur OMV mais je le script (pour rajouter des protections et des test lors du backup) plutôt que d'utiliser le planificateur de tache de l'interface qui ne gère pas bien le 'pre script' et 'post script'.
Sinon IPfire cela ressemble a ça avec 3 zones :
J'avais le souhait de créer une DMZ dans mon réseau et d'y mettre tous mes conteneurs accessibles depuis l'extérieur.
Je voulais y ajouter un "vrai" firewall (détection intrusion, blocage par liste IP...) en amont pour gérer la sécurité.
A défaut de mettre une machine dédiée (le coup n'est pas négligeable pour un routeur firewall 4 ports 2,5Gb/s), j'ai installé 'IPFire' dans une VM et définis carte réseau virtuelle sur mon Proxmox (j'ai deux NIC physique dessus).
J'ai fais ce choix plutôt que OPNSense ou PFSense qui sont tous les deux basés sur FreeBSD (que je ne maîtrise pas)...
Par contre la configuration du firewall est beaucoup plus complexe du faite qu'il y ai 3 zones et 3 interfaces réseau. J'ai parfois du mal à capter les règles de firewall entre zones, surtout qu'il y a plus de paramètres que sur un firewall basique comme Proxmox ou OMV
Le jour ou je souhaiterais déployer le firewall sur une machine dédiée, je n'aurais rien à modifier coté réseau, je garderais le même adressage pour mes 3 zones.
J'en ai profité pour faire des gros changements :
- Redéployer un vrai NAS chez moi et y centraliser tous les partages sur le LAN (via NFS)
- C'est mon NAS qui vas gérer tous les backup vers un 2eme petit NAS via rsync ssh.
- Enlever Docker de Proxmox (un conteneur dans un conteneur...)
- L’environnement Docker (que du LAN) est maintenant géré au niveau d'OMV
- J'ai viré Swag et VaultWarden qui me monopolisait un conteneur avec Docker sur mon Proxmox. J'ai migré sur KeepPassXC (agréablement surpris par le logiciel), cela me conviens car je me sers du gestionnaire de mot de passe que dans mon LAN.
- J'ai viré PiHole car il n'est pas compatible avec IPFire qui gère lui même le DNS. Je lui ai ajouté un script pour ajouter des listes de filtrage : https://github.com/sfeakes/ipfire-scripts#unbound-nxdomain
- J'ai déployé le plugin 'Nginx' au niveau du firewall IPFire. Je lui ai rajouté aussi un script : https://github.com/mitchellkrogza/nginx-ultimate-bad-bot-blocker pour augmenter la sécurité au niveau de la DMZ (mais bon le Firewall bloque déjà pas mal de chose de lui même).
Voila le schéma actuelle avec mes 3 zones : RED, ORANGE et GREEN :
La DMZ est opérationnelle. Je termine l'installation des derniers Docker sur le NAS OMV1
Il me restera a reconfigurer tous les backups. J'ai décidé de rajouter Borg Backup en incrémentiel que j'ai déjà testé et utilisé chez un client et qui fait bien le job.
Il y a un plugin sur OMV mais je le script (pour rajouter des protections et des test lors du backup) plutôt que d'utiliser le planificateur de tache de l'interface qui ne gère pas bien le 'pre script' et 'post script'.
Sinon IPfire cela ressemble a ça avec 3 zones :
