L'infrastructure globale

Isolation des services

L'architecture est basée sur un hyperviseur proxmox (debian).

Chaque service est isolé dans des containeurs (LXC) et est connecté

• soit à l'interface publique de l'hyperviseur avec une IP failover louée
• soit à l'interface privée du réseau QTH avec une ip local sur le réseau 10.9.100.0/24

Bastion

La majorité du trafic entrant et sortant est géré par une VM fw1 qui :

• Possède une ip FO publique
• Redirige certain trafic entrant suivant le port et le redirige vers la bonne machine (DNAT) (C'est le cas du DNS, du OpenVPN, SSH...)
• Comporte un reverse-proxy avec terminaison SSL (letsencrypt) (NGINX) qui redirige le trafic http vers la bonne machine (en http non ssl localement)
• Translate le trafic sortant des machines locales vers internet (masquarade)
• Fournit une plage d'ip limité (DHCPD)