Héberger un site web chez soi en sécurité (Zero Trust avec Proxmox, Docker et Cloudflare)

Introduction

Exposer un serveur web auto-hébergé sur Internet a toujours été un casse-tête pour les passionnés d’informatique. La méthode traditionnelle exige d’ouvrir les ports 80 et 443 sur son routeur, ce qui crée une brèche de sécurité majeure dans le pare-feu. Pour une infrastructure gérée sous OPNsense, c’est un risque inacceptable. Aujourd’hui, nous allons voir comment contourner ce problème grâce à l’architecture « Zero Trust », en déployant un tunnel chiffré depuis un conteneur Proxmox.

L’architecture cible

L’objectif est simple : le pare-feu OPNsense ne doit accepter aucune connexion entrante. Tout le trafic doit être initié de l’intérieur vers l’extérieur. Pour y parvenir, nous utilisons trois composants majeurs :

• Un hyperviseur Proxmox hébergeant un conteneur LXC (Debian).
• Le moteur Docker, qui fait tourner notre application web (WordPress) de manière isolée.
• Un agent Cloudflared, qui établit un tunnel sécurisé direct entre le conteneur et le réseau mondial de Cloudflare.

Étape 1 : Préparation de l’environnement local

La première étape consiste à déployer une application web standard sans se soucier de son exposition. Dans un conteneur LXC vierge sous Proxmox, Docker permet de lancer l’application en quelques secondes via un fichier d’orchestration docker-compose.yml. L’application tourne paisiblement sur le port 80 de la machine locale, totalement invisible depuis Internet, et protégée par le réseau LAN.

Étape 2 : Le concept du Tunnel Zero Trust

Plutôt que de dire à Internet « Venez taper à la porte de mon adresse IP », nous allons dire à notre serveur « Va te connecter aux serveurs de Cloudflare ». Nous installons l’agent Cloudflare directement dans le conteneur Debian. Cet agent initie une connexion sortante (qui est autorisée par défaut par le pare-feu) et maintient ce lien ouvert et chiffré.

Étape 3 : Le routage final

Une fois le tunnel établi, la configuration s’effectue dans le tableau de bord Cloudflare. Il suffit de lier son nom de domaine au tunnel actif, et d’indiquer à l’agent local de rediriger le trafic entrant vers le port 80 de Docker.

Conclusion

Le résultat est une infrastructure robuste de niveau professionnel. Le certificat SSL est géré automatiquement par Cloudflare, l’adresse IP publique de la maison reste secrète, et le pare-feu matériel reste hermétiquement fermé de l’extérieur. L’auto-hébergement redevient sûr et accessible.