Pangolin

Fonctionnement technique

Pangolin est une solution self-hosted de reverse proxy et de tunnel réseau sécurisé, combinant Gerbil (basé sur WireGuard) pour le tunneling, Traefik pour le reverse proxy et une interface d'administration web. Elle permet d'exposer des services internes sur Internet de manière sécurisée, sans ouvrir de ports entrants ni dépendre de services cloud tiers.

L'architecture repose sur un serveur central Pangolin qui héberge le reverse proxy Traefik et le serveur WireGuard Gerbil. Les sites distants déploient un agent Newt (client WireGuard) qui établit une connexion sortante chiffrée vers le serveur. Le trafic web entrant est reçu par Traefik, routé via le tunnel WireGuard jusqu'au service interne approprié.

Le routage est basé sur les noms de domaine (virtual hosts) : chaque service interne est associé à un sous-domaine. Pangolin gère automatiquement les certificats TLS via Let's Encrypt et supporte le load balancing entre plusieurs backends. L'interface web permet de gérer les sites, les tunnels et les politiques d'accès sans modifier de fichiers de configuration.

Cas d'usage

Pangolin est une alternative self-hosted à Cloudflare Tunnel pour les organisations qui souhaitent garder le contrôle total sur leur infrastructure de tunneling. Il est utilisé par les administrateurs système qui hébergent des services sur des réseaux domestiques ou des sites distants sans IP publique fixe.

Les petites entreprises avec plusieurs sites l'utilisent pour centraliser l'accès aux applications internes (ERP, CRM, outils de monitoring) via un seul point d'entrée sécurisé. Les développeurs l'apprécient pour exposer des environnements de développement locaux à des clients ou des testeurs externes.

Outils et implémentation

Pangolin se déploie via Docker Compose avec une stack comprenant le serveur Pangolin, Traefik et Gerbil. L'installation initiale se fait via un script d'installation interactif qui configure le domaine, les certificats et les paramètres réseau. L'agent client Newt est un binaire léger disponible pour Linux, Windows et macOS.

L'interface web d'administration permet de créer des sites (domaines), d'associer des tunnels et de configurer les paramètres de proxy (timeouts, headers, TLS). Les alternatives dans la même catégorie incluent FRP (Fast Reverse Proxy), Rathole (Rust, haute performance), Ngrok (SaaS) et Cloudflare Tunnel.

Défense / Bonnes pratiques

Sécurisez le serveur Pangolin en limitant l'accès à l'interface d'administration par IP source ou en la plaçant derrière une authentification supplémentaire. Utilisez des mots de passe forts et activez le MFA pour les comptes administrateurs. Maintenez la stack à jour (Pangolin, Traefik, Gerbil) pour bénéficier des correctifs de sécurité.

Configurez les politiques de sécurité Traefik : rate limiting, headers de sécurité (HSTS, CSP, X-Frame-Options), et middleware d'authentification pour les services exposés. Utilisez les ACL WireGuard pour limiter les flux réseau autorisés via les tunnels.

Surveillez les logs d'accès Traefik pour détecter les scans et tentatives d'exploitation. Configurez des alertes pour les connexions de tunnels inhabituelles (nouveaux agents, reconnexions fréquentes). Isolez le serveur Pangolin dans un réseau dédié et limitez sa connectivité réseau au strict nécessaire (ports WireGuard et HTTPS entrants).

Articles associés

Voir nos articles détaillés sur ce sujet.