Tu abordes un point intéressant:
- reverse proxy ou port forwarding
Le port forwarding est bien sur plus simple à mettre en œuvre mais c'est une solution que je n'aime pas beaucoup:
- ça consiste à renvoyer directement vers le LAN des requêtes qui viennent d'internet, sans aucun contrôle possible.
En comparaison, le reverse proxy ne va passer que des requêtes HTTP correctement formées (ce qui va déjà limiter un peu les risques de se faire attaquer) et on peut, au niveau de ce composant, exiger une authentification avec éventuellement du profiling avant de décider re relayer ou pas la requête vers le serveur internet.
- Ce même composant permet de fournir de manière transparente des services de haute disponibilité et également de load balancing pour des applications qui vont croître de manière horizontale, à savoir ajouter des serveurs en fonction de la charge.
- enfin, en cas de nommage différent entre le LAN et internet, il n'y a pas beaucoup d'autres solution que le reverse proxy qui va réécrire les requêtes.
Bref, j'essaie de faire régulièrement la promotion de ce type de composant dont je ne comprends pas l'absence sur une plate-forme comme Zentyal (sauf si ils pensent qu'en dehors de Zentyal il n'y a rien d'autre et qu'il faut rester dans un mode "on single box"