Infrastructure Proxmox segmentée & sécurisée
Projet personnel / Lab professionnel
Dans un objectif de contrôle total, sécurité avancée et évolutivité, cette infrastructure a été conçue comme celle d’un petit hébergeur professionnel, tout en restant déployée on-premise derrière une box opérateur standard.
Le défi principal consistait à exposer des services web publics tout en isolant strictement les services internes, avec une seule IP publique, sans compromis sur la sécurité.
L’architecture repose sur Proxmox VE comme hyperviseur, pfSense comme cœur réseau, et une segmentation claire entre WAN, LAN et management.
L’infrastructure est pensée pour évoluer vers :
- un cluster Proxmox multi-nœuds
- un reverse-proxy centralisé
- des migrations de services sans interruption
Le problème
- Exposition de services web derrière une box opérateur limitée en fonctionnalités sécurité
- Risque de compromission en cas de mélange WAN / LAN
- Besoin d’un routage et NAT précis avec une seule IP publique
Ma solution
- Mise en place d’un hyperviseur Proxmox comme point d’entrée réseau
- Déploiement de pfSense comme pare-feu central et routeur unique
- Redirections NAT explicites et filtrage stateful
- Accès administrateur exclusivement via VPN WireGuard et SSH
Fonctionnalités clés
Sécurité réseau avancée
Pare-feu stateful, NAT explicite, segmentation stricte
Exposition WAN maîtrisée
Services publics isolés sur réseau dédié
Accès sécurisé
Administration uniquement via VPN
Architecture évolutive
Prévue pour cluster Proxmox et reverse-proxy
Self-hosting complet
Indépendance totale des services cloud tiers