Par Dauba Alexandre
Le groupement ALPY, gestionnaire des stations d’altitude des Pyrénées, souhaite récolter des informations de fréquentation et de satisfaction auprès de ses clients. Le site d’enquête est réalisé avec le CMS WordPress. Pour des raisons de sécurité, le serveur Web (Nginx) est placé dans une DMZ. Des postes en libre‑service doivent être proposés et un service DHCP configuré sur le routeur. Un contrôleur de domaine Samba doit être fourni, incluant les comptes administrator et alpy.
Voici ci-dessous le tableau d’adressage du projet :
| Réseau / Postes | IP | CIDR | Gateway | DNS |
|---|---|---|---|---|
| WAN | ///// | 21 | ///// | ///// |
| dauba-gtw | 172.31.4.204 | 21 | ///// | ///// |
| DMZ | 204.204.204.0 | 30 | ///// | ///// |
| dauba-gtw | 204.204.204.1 | 30 | ///// | ///// |
| dauba-wp | 204.204.204.2 | 30 | 204.204.204.1 | 204.204.204.1 |
| LAN | 192.168.1.0 | 24 | ///// | ///// |
| dauba-gtw | 192.168.1.254 | 24 | ///// | ///// |
| dauba-adm | 192.168.1.1 | 24 | 192.168.1.254 | 192.168.1.2 |
| dauba-ad | 192.168.1.2 | 24 | 192.168.1.254 | 192.168.1.254 |
| dauba-db | 192.168.1.3 | 24 | 192.168.1.254 | 192.168.1.2 |
Toutes les adresses sont configurées en IP fixe.
| Service | Interface | Protocole | Destination | Port dest. | IP NAT | Port NAT |
|---|---|---|---|---|---|---|
| SSH Contrôleur de domaine | WAN | TCP | WAN address | 2289 | 192.168.1.2 | 22 (SSH) |
| SSH Base de données | WAN | TCP | WAN address | 2286 | 192.168.1.3 | 22 (SSH) |
| SSH Serveur Web | WAN | TCP | WAN address | 2280 | 204.204.204.2 | 22 (SSH) |
| RDP poste Windows | WAN | TCP | WAN address | 3389 (MS RDP) | 192.168.1.1 | 3389 (MS RDP) |
| SQL depuis DMZ | DMZ | TCP | DMZ address | 3306 | 192.168.1.3 | 3306 |
| Interface pfSense depuis WAN | WAN | TCP | WAN address | 4431 | LAN address | 80 (HTTP) |
| Serveur Web depuis WAN | WAN | TCP | WAN address | 80 (HTTP) | 204.204.204.2 | 80 (HTTP) |
| SQL depuis WAN | WAN | TCP | WAN address | 3306 | 192.168.1.3 | 3306 |
Prérequis : nginx, php, wordpress, phpMyAdmin.
Fichier : /etc/nginx/sites-available/default
server {
listen 80 default_server;
listen [::]:80 default_server;
root /var/www/wordpress;
index index.php;
server_name _;
location / {
try_files $uri $uri/ =404;
}
location ~ \.php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php8.2-fpm.sock;
# With php-cgi (or other tcp sockets):
}
}
Arborescence (à la racine /var/www) :
wordpressphpMyAdmininfo.php : <?php phpinfo(); ?>Créer un raccourci dans wordpress vers /var/www/phpMyAdmin et un second vers info.php (dossier parent). Dans la table wp_options de la base wordpress, définir siteurl et home → http://204.204.204.2/.
Fichier : /var/www/wordpress/wp-config.php
<?php
define('DB_NAME', 'wordpress');
define('DB_USER', 'wp');
define('DB_PASSWORD', 'sio');
define('DB_HOST', '204.204.204.1');
define('DB_CHARSET', 'utf8mb4');
define('DB_COLLATE', '');
/* Clés et sels d'authentification (exemple, à régénérer en prod) */
// AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY, etc.
$table_prefix = 'wp_';
define('WP_DEBUG', false);
if (!defined('ABSPATH')) {
define('ABSPATH', __DIR__ . '/');
}
require_once ABSPATH . 'wp-settings.php';
Fichier : /var/www/phpMyAdmin/config.inc.php
<?php
declare(strict_types=1);
$cfg['blowfish_secret'] = '';
$i = 0;
$i++;
$cfg['Servers'][$i]['auth_type'] = 'cookie';
$cfg['Servers'][$i]['host'] = '204.204.204.1';
$cfg['Servers'][$i]['compress'] = false;
$cfg['Servers'][$i]['AllowNoPassword'] = false;
$cfg['UploadDir'] = '';
$cfg['SaveDir'] = '';
Prérequis : MySQL.
Extrait de configuration :
pid-file = /run/mysqld/mysqld.pid
basedir = /usr
bind-address = 192.168.0.3
expire_logs_days = 10
character-set-server = utf8mb4
collation-server = utf8mb4_general_ci
Comptes : créer la base wordpress et deux utilisateurs :
wp/sio : droits uniquement sur la BDD wordpresssio/sio : droits sur tout le serveurPrérequis : samba-ad-dc.
dauba-alpy.landauba-adadministrator/sioalpy/sio