Reprise du message précédent :
kesako?
Je ne t'ai pas compris du tout

Perso

Je préconise de mettre sur ton hyperviseur un iptables ou un pfsense sur la pat qui va te servir a faire transiter ton flux .

En gros tu montes un pfsense dans une vm, la, tu fais rediriger ton flux de tes serveurs (Web,Ftp...) sur la pat RX de ton hyperviseur qui va te servir à te connecter en extérieur.

Tu peux considérer ceci comme une Zone DMZ.

Avec une autre Pat (Lan), tu montes un VPN (openvpn ou autre), tu fais ton Nat (je simplifie) et tu pourras accéder à ton hyperviseur de l’extérieur.

La partie PFsense, tu peux la monter en physique si tu veux, c'est plus simple a mettre en place que la Vm (quoique).

Sur tes serveurs en DMZ, FailtoBan et portsentry et iptables (Iptables pour gérer individuellement  ton flux, version simple), tu dois juste bien régler portsentry pour qu'il ne te ban pas.

C'est une version simple mais compréhensible pour te faire une idée de la chose.

Y'a plus lourd et compliqué mais ce n'est pas le but de ton infra, je suppose.

PS: Il faut mettre en relation ton PFsense et tes pat de ton hyperviseur et c est a ce moment la que tu pourras gérer tes zones et ton flux.

En gros, soit tu rediriges tous les ports sur les vms dont tu veux avoir les accées pour les exploiter (ce que j'ai fais).
 
Soit, et c'est plus intelligent, tu as un serveur VPN donc du cou tu rediriges uniquement le port de connexion au VPN. Une fois connecté en VPN c'est PAREIL que si tu étais sur ton lan, donc ca sert a rien de redirigé le port 22 vers le SSH par exemple.
Ca permet d'ouvrir un seul port, au lieu de 15.
 
Par contre, si tu héberges des sites web, tu vas etre obligé pour ces sites de faire des redirections. Car c'est pas QUE pour ton utilisation.
Donc concretement, quand tu as des serveurs web tu rediriges les ports 80 et 443. Ca c'est le minimum.
 
Ensuite, le port pour le vpn qui va dépendre de la technologie utilisée (sstp -> 443 par exemple apres t'as pptp mais pas securisé ou l2tp/ipsec, et peut etre d'autres que je ne connais pas).

 
Globalement, je vois ce qu'il faut faire. Je vais tester sur VirtualBox. Par contre, PfSense je pense faire une VM, mais je vois pas trop comment faire niveau adresses IP pour quelle se retrouve de "front"? J'ai fait un petit schéma:
 

 
Est-ce que c'est faisable ou complétement délirant?  
 
J'aimerais vraiment "séparer" les lignes, la rouge et jaune de la bleu. Et que ces dernières restent en dehors de tout contact avec internet.
 

 
Comme dit plus haut, je pense me tourner vers une solution VPN via Pfsense. En tout cas, j'ai hâte de virtualiser tout ça!
 
Puis je voulais te demander si ça ne te dérangeait pas si je continue sur ton topic?  
 
 
 
 
 
 
 
 

Pas du tout, ca reste le même sujet.
 
Par contre, les uplink sont gérés par l'hyperviseur il me semble.
 
Bien que je suppose qu'on puisse mettre un port en direct sur une vm

 
Quand tu vas installer ton PFsense, il faudra lui indiquer (il va te poser la question) l'adresse mac de chaque interface.
Après, cela va dépendre de la configuration de ton réseau, en direct ou pas pour la configuration.
 
En gros en simplifiant (en  partant du postula que c est PFsense qui va faire DHCP et routeur), si ta box est en brige, il faudra indiquer à PFsense ( c'est le même principe que pour un autre FW ) l'interface qui va faire office de pat Wan.
Même chose pour ton Lan et ta DMZ et j'en passe.
 
Je vais essayer de faire un schéma, si j'ai le temps,  
 
J’espère être clair (debout depuis 5h du mat et la tête ds le Q   ).

 
Tu peux effectivement mettre une interface en direct.

J'ai sur une solution de virtualisation plus ou moins se que vous expliquez.
 
pfSense en frontal avec plusieurs service derrière.
Les redirection qui sont expliqué plus haut sont appelé du port forwarding, ça te permet de rediriger une requête arrivant sur un port donnée de ton pfSense vers un nouveau port d'une nouvelle IP.
 
Je te conseil de donner deux adresses a ton pfSense, une patte LAN et une patte Wan.