Migration 4.3 - serveurs corporatifs

Après quelques jours de repos, constatant que mes systèmes continuent à bien fonctionner, j'ai migré mes serveurs internes (qui ne sont pas sur le même réseau que les postes de travail, on ne mélange pas les torchons et les serviettes) de l'ancien routeur vers le commutateur dans leur propre VLAN.

Ça c'est globalement bien passé, même si j'ai perdu toute connectivité interne pendant quelques minutes, sans que je comprenne pourquoi. Probablement une erreur dans la configuration du 802.1Q sur le commutateur, puisque c'est en bidouillant par là que tout s'est remis à marcher.

La création de plusieurs nouvelles chaînes itpables, pour gérer les flux logiquement segmentés même s'ils arrivent physiquement sur le même câble, a été rapide. Mon réseau était déjà fortement segmenté physiquement, il m'a suffit de reprendre globalement la même segmentation. Le passage par des VLans ne change pas grand chose - sauf quand je me plante et que je place une règle DROP en tête de chaîne. Après ça, va comprendre pourquoi les paquets ne sont pas acheminés, sans avoir aucune journalisation des rejets. Il m'a fallu une bonne demi-heure pour trouver le problème (routeur par routeur, interface par interface, pour comprendre jusqu'où les paquets arrivent et où ils disparaissent). Heureusement, la chaîne en question est celle traitant les flux provenant de mon serveur VPN, donc pas de perte dramatique de fonctionnalités.

Comme toujours, je vais laisser les bidules se poser un peu. Il est très probable que j'ai oublié des flux. Comme j'en profite pour nettoyer mes filtres iptables (plutôt que de reprendre brutalement ceux qui existent, en les adaptant à la nouvelle configuration), ce n'est pas plus mal de repartir comme ça de zéro.