search
Portfolio

shieldConfiguration Pare-feu

hashtag
📋 Flux d'authentification SSO

Pour que le SSO fonctionne, les flux suivants doivent être autorisés sur le Mikrotik :

  1. Client (LAN) -> ADFS (SrvPKI - LAN) : Direct (pas de filtrage forward nécessaire si dans le même sous-réseau, mais à vérifier si isolation).

  2. Extranet (DMZ) -> ADFS (SrvPKI - LAN) : Pour la validation des métadonnées ou les échanges directs (si configuré).

  3. Client (LAN) -> Extranet (DMZ) : Accès à l'application (Port 443).

hashtag
🧱 Règles de Pare-feu Mikrotik

Basé sur votre configuration actuelle, nous devons ajouter les règles pour autoriser le trafic HTTPS vers l'Extranet et potentiellement vers l'ADFS.

hashtag
🔓 Autoriser HTTPS vers l'Extranet (DMZ)

/ip firewall filter
# Autoriser le trafic HTTPS (443) du LAN vers la DMZ (Extranet)
add action=accept chain=forward comment="[011] LAN vers DMZ (HTTPS Extranet)" dst-port=443 in-interface=LAN out-interface=DMZ protocol=tcp

hashtag
🔓 Autoriser le flux d'authentification vers ADFS (LAN)

Si l'Extranet doit contacter l'ADFS directement (ex: pour les métadonnées) :

/ip firewall filter
# Autoriser la DMZ (Extranet) à contacter SrvPKI (ADFS) sur le port 443
add action=accept chain=forward comment="[012] DMZ vers LAN (ADFS HTTPS)" dst-address=192.168.7.11 dst-port=443 in-interface=DMZ out-interface=LAN protocol=tcp

hashtag
🔁 NAT et Reverse Proxy (Optionnel - US#12)

Si vous souhaitez que le flux d'authentification passe par un reverse proxy dans la DMZ :

  1. Configuration NAT : Rediriger le port 443 du WAN vers le Reverse Proxy en DMZ.

  2. Configuration Reverse Proxy : Le proxy en DMZ reçoit la requête et la renvoie vers l'ADFS dans le LAN.

hashtag
📊 Résumé des ports pour SSO

Service
Source
Destination
Port
Protocole
Utilité

HTTPS

LAN/WAN

Extranet (DMZ)

443

TCP

Accès à l'application

HTTPS

Client/DMZ

ADFS (LAN)

443

TCP

Authentification SSO

DNS

DMZ

SrvDC1 (LAN)

53

UDP/TCP

Résolution de noms

PreviousConfiguration SimpleSAMLphp

Last updated