extern/shorewall_code
1
0
Fork 1
mirror of https://gitlab.com/shorewall/code.git synced 2025-08-16 11:44:28 +02:00
Code Issues Packages Projects Releases Wiki Activity

1. remove svn:executable property of some files.

Browse Source 
2. put the French docs in it's own branch.



git-svn-id: https://shorewall.svn.sourceforge.net/svnroot/shorewall/trunk@3609 fbd18981-670d-0410-9b5c-8dc0c1a9a2bb
This commit is contained in:
judas_iscariote
2006-03-01 02:00:43 +00:00
parent f59e5fcf8e
commit 19a248d750
21 changed files with 1 additions and 1 deletions
Download Patch File Download Diff File Expand all files Collapse all files

2120
docs/FAQ_fr.xml
View File

File diff suppressed because it is too large Load Diff

623
docs/Install_fr.xml
View File

@ -1,623 +0,0 @@
<?xml version="1.0" encoding="ISO-8859-15"?>
<!DOCTYPE article PUBLIC "-//OASIS//DTD DocBook XML V4.2//EN"
"http://www.oasis-open.org/docbook/xml/4.2/docbookx.dtd">
<article id="Install" lang="fr">
<!--$Id: Install.xml,v 1.27 2005/12/22 16:55:46 judas_iscariote Exp $-->
<articleinfo>
<title>Installation et mise <20> jour de Shorewall</title>
<subtitle>Version fran<61>aise de <foreignphrase lang="en"><ulink
url="http://www.shorewall.net/Install.html">Shorewall Installation and
Upgrade</ulink></foreignphrase></subtitle>
<authorgroup>
<author>
<firstname>Tom</firstname>
<surname>Eastep</surname>
</author>
<othercredit role="translator">
<firstname>Guy</firstname>
<surname>Marcenac</surname>
<contrib>Adaptation fran<61>aise</contrib>
</othercredit>
</authorgroup>
<pubdate>2006-02-26</pubdate>
<copyright>
<year>2001-</year>
<year>2006</year>
<holder>Thomas M. Eastep</holder>
<holder>Guy Marcenac</holder>
</copyright>
<legalnotice>
<para>Permission est accord<72>e de copier, distribuer et/ou modifier ce
document selon les termes de la Licence de Documentation Libre GNU (GNU
Free Documentation License), version 1.2 ou toute version ult<6C>rieure
publi<6C>e par la Free Software Foundation ; sans section Invariables, sans
premi<6D>re de Couverture, et sans texte de quatri<72>me de couverture. Une
copie de la pr<70>sente Licence est incluse dans la section intitul<75>e. Une
traduction fran<61>aise de la licence se trouve dans la section
<quote><ulink
url="http://www.idealx.org/dossier/oss/gfdl.fr.html">Licence de
Documentation Libre GNU</ulink></quote>. Ce paragraphe est une
traduction fran<61>aise pour aider <20> votre compr<70>hension. Seul le texte
original en anglais pr<70>sent<6E> ci-dessous fixe les conditions
d'utilisation de cette documentation.</para>
<para>Permission is granted to copy, distribute and/or modify this
document under the terms of the GNU Free Documentation License, Version
1.2 or any later version published by the Free Software Foundation; with
no Invariant Sections, with no Front-Cover, and with no Back-Cover
Texts. A copy of the license is included in the section entitled
<quote><ulink url="GnuCopyright.htm">GNU Free Documentation
License</ulink></quote>.</para>
</legalnotice>
</articleinfo>
<note>
<para><emphasis role="underline">Notes du traducteur :</emphasis> Si vous
trouvez des erreurs ou si vous avez des am<61>liorations <20> apporter <20> cette
traduction vous pouvez <ulink url="mailto:guy@posteurs.com">me
contacter</ulink>.</para>
</note>
<caution>
<para><emphasis role="bold">Cet article s'applique <20> Shorewall 3.0 et <20>
ses versions ult<6C>rieures. Si vous <20>tes en train d'installer ou de mettre <20>
jour vers une version ant<6E>rieure <20> Shorewall 3.0.0, merci de vous r<>f<EFBFBD>rer
<20> la documentation de cette version.</emphasis></para>
</caution>
<important>
<para>Avant de vous lancer dans l'installation, je vous encourage vivement
<20> lire et <20> imprimer une copie du guide pratique pr<70>sent<6E> dans <ulink
url="shorewall_quickstart_guide.htm">Shorewall QuickStart</ulink> et
d<>crivant la configuration la plus proche de la votre.</para>
</important>
<important>
<para>Avant toute mise <20> jour, assurez-vous d'avoir pass<73> en revue <ulink
url="upgrade_issues.htm">les probl<62>mes de mise <20> jour</ulink>.</para>
</important>
<note>
<para>Les RPM Shorewall sont sign<67>s. Pour <20>viter d'avoir des
avertissements tels que le suivant<programlisting>warning: shorewall-3.0.1-1.noarch.rpm: V3 DSA signature: NOKEY, key ID 6c562ac4</programlisting></para>
<para>t<EFBFBD>l<EFBFBD>chargez la <ulink
url="https://lists.shorewall.net/shorewall.gpg.key">cl<EFBFBD> GPG
Shorewall</ulink> puis ex<65>cutez cette commande:</para>
<programlisting><command>rpm --import shorewall.gpg.key</command></programlisting>
</note>
<section id="Install_RPM">
<title>Installation avec un RPM</title>
<para>Pour installer Shorewall avec un RPM:</para>
<orderedlist>
<listitem>
<para><emphasis role="bold">Assurez-vous d'avoir le paquetage RPM
ad<61>quat!</emphasis></para>
<para>On sait que le paquetage RPM standard de shorewall.net et des
miroirs fonctionne avec <emphasis
role="bold"><trademark>SUSE</trademark></emphasis>, <emphasis
role="bold"><trademark>Power PPC</trademark></emphasis>, <emphasis
role="bold"><trademark>Trustix</trademark></emphasis> et <emphasis
role="bold"><trademark>TurboLinux</trademark></emphasis>. Il existe un
paquetage fourni par Simon Matter construit pour <trademark><emphasis
role="bold">RedHat/Fedora</emphasis></trademark> ainsi qu'un autre
paquetage de Jack Coates adapt<70> pour <emphasis
role="bold"><trademark>Mandriva</trademark></emphasis>. Il sont tous
disponibles sur la <ulink
url="http://www.shorewall.net/download.htm">page de
t<>l<EFBFBD>chargement</ulink>.</para>
<para>Si vous tentez d'installer le mauvais paquetage, il ne
fonctionnera probablement pas.</para>
</listitem>
<listitem>
<para>Installer le RPM</para>
<programlisting><command>rpm -ivh &lt;shorewall rpm&gt;</command></programlisting>
<caution>
<para>Certains utilisateurs ont l'habitude d'utiliser la commande
<command>rpm -U</command> pour installer et pour mettre <20> jour leurs
paquetages. Si vous utilisez cette commande pour installer le RPM
Shorewall vous devrez activer manuellement le lancement de Shorewall
au d<>marrage en utilisant <command>chkconfig</command>,
<command>insserv</command> ou l'utilitaire que vous utilisez pour
manipuler les liens symboliques pour init.</para>
</caution>
<note>
<para>Certains utilisateurs SUSE ont rencontr<74> un probl<62>me dans
lequel le rpm signale un conflit avec un noyau de version &lt;= 2.2
alors qu'un noyau 2.4 est install<6C>. Si ceci se produit, utilisez
simplement l'option rpm --nodeps.</para>
<programlisting><filename><command>rpm -ivh --nodeps &lt;shorewall rpm&gt;</command></filename></programlisting>
</note>
<note>
<para>Shorewall d<>pend du paquetage iproute. Malheureusement,
certaines distribution nomment ce paquetage iproute2 ce qui provoque
un <20>chec de l'installation de Shorewall avec le diagnostic
suivant:</para>
<programlisting>error: failed dependencies:iproute is needed by shorewall-2.2.x-1</programlisting>
<para>Ce probl<62>me ne devrait pas survenir si vous utilisez le bon
paquetage RPM (voir 1., ci-dessus), mais il peut <20>tre contourn<72> en
utilisant l'option --nodeps de rpm.</para>
<programlisting><command>rpm -ivh --nodeps &lt;shorewall rpm&gt;</command></programlisting>
</note>
</listitem>
<listitem>
<para><EFBFBD>ditez les <link linkend="Config_Files">fichiers de
configuration</link> pour qu'ils correspondent <20> votre
configuration.</para>
<warning>
<para>VOUS NE POUVEZ PAS SIMPLEMENT INSTALLER LE RPM ET LANCER UNE
COMMANDE <quote><command>shorewall start</command></quote>. UN
MINIMUM DE CONFIGURATION EST N<>CESSAIRE AVANT QUE VOTRE FIREWALL NE
D<>MARRE. SI VOUS EX<45>CUTEZ UNE COMMANDE
<quote><command>start</command></quote> ET QUE LE LANCEMENT DU
FIREWALL <20>CHOUE, VOTRE SYST<53>ME N'ACCEPTERA PLUS AUCUN TRAFIC R<>SEAU.
SI CELA SE PRODUIT, EX<45>CUTEZ LA COMMANDE <quote><command>shorewall
clear</command></quote> POUR R<>TABLIR LA CONNECTIVIT<49> R<>SEAU.</para>
</warning>
</listitem>
<listitem>
<para>Activez le d<>marrage de shorewall en supprimant le fichier
<filename>/etc/shorewall/startup_disabled</filename> (Si vous utilisez
Shorewall 2.1.3 ou une de ses versions ult<6C>rieures, <20>ditez le fichier
/<filename>etc/shorewall/shorewall.conf</filename> et mettez
STARTUP_ENABLED <20> Yes).</para>
</listitem>
<listitem>
<para>Lancez le firewall avec</para>
<programlisting><command>shorewall start</command></programlisting>
</listitem>
</orderedlist>
</section>
<section id="Install_Tarball">
<title>Installer avec le fichier tarball</title>
<para>Pour installer Shorewall avec le tarball et le script
d'installation:</para>
<orderedlist>
<listitem>
<para>D<EFBFBD>compressez le tarball (tar -zxf shorewall-x.y.z.tgz).</para>
</listitem>
<listitem>
<para>Allez dans le r<>pertoire shorewall (la version est cod<6F>e dans le
nom de r<>pertoire comme par exemple dans
<quote>shorewall-3.0.0</quote>).</para>
</listitem>
<listitem>
<para>Tapez:</para>
<programlisting><command>./install.sh</command></programlisting>
</listitem>
<listitem>
<para><EFBFBD>ditez les <link linkend="Config_Files">fichiers de
configuration</link> pour qu'ils correspondent <20> votre
configuration.</para>
</listitem>
<listitem>
<para>Activez le d<>marrage de shorewall en <20>ditant le fichier
<filename>/etc/shorewall/shorewall.conf</filename> et en y mettant
STARTUP_ENABLED=Yes.</para>
</listitem>
<listitem>
<para>Lancez le firewall avec</para>
<programlisting><command>shorewall start</command></programlisting>
</listitem>
<listitem>
<para>Si le script d'installation n'a pas r<>ussi <20> configurer
Shorewall pour qu'il soit lanc<6E> automatiquement au d<>marrage du
syst<73>me, allez voir <ulink
url="starting_and_stopping_shorewall.htm">ces
instructions</ulink>.</para>
</listitem>
</orderedlist>
</section>
<section id="LRP">
<title>Installer avec le .lrp</title>
<para>Pour installer ma version de Shorewall sur une nouvelle disquette de
Bering, remplacez simplement sur l'image le fichier
<quote><filename>shorewall.lrp</filename></quote> par celui que vous avez
t<>l<EFBFBD>charg<72>. Par exemple, si vous t<>l<EFBFBD>chargez
<filename>shorewall-lrp-2.2.0.tgz</filename> vous le renommerez
<filename>shorewall.lrp</filename> puis vous remplacerez le fichier
portant ce nom sur votre disque Bering par ce nouveau fichier. Configurez
ensuite Shorewall comme cela est d<>crit dans la documentation Bering (ou
Bering uClibc).</para>
</section>
<section>
<title>Installer avec le .deb</title>
<important>
<para>Apr<EFBFBD>s avoir install<6C> le paquetage .deb, avant de commencer <20>
configurer Shorewall, vous devriez prendre connaissance de ce conseil de
Lorenzo Martignoni, le mainteneur Debian de Shorewall:</para>
<para><quote>Pour plus d'information quant <20> l'utilisation de Shorewall
sur un syst<73>me Debian vous devriez aller voir le fichier
/usr/share/doc/shorewall/README.Debian distribu<62> avec le paquetage
Debian de Shorewall.</quote></para>
</important>
<para>Le fa<66>on la plus simple d'installer Shorewall sur Debian est
d'utiliser apt-get:</para>
<para><command>apt-get install shorewall</command></para>
<para>Pour <20>tre certain d'installer la derni<6E>re version de Shorewall, vous
devriez modifier votre fichier <filename>/etc/apt/preferences</filename>
comme d<>crit <ulink
url="http://sourceforge.net/mailarchive/message.php?msg_id=13995291">ici</ulink>.</para>
<para><emphasis role="bold">Lorsque vous avez fini de configurer
Shorewall, vous pouvez activer son lancement au d<>marrage du syst<73>me en
positionnant startup=1 dans le fichier
<filename>/etc/default/shorewall</filename>.</emphasis></para>
</section>
<section>
<title>Observations g<>n<EFBFBD>rales sur les mises <20> jour de Shorewall</title>
<para>La plupart des probl<62>mes de mise <20> jour ont pour cause:</para>
<itemizedlist>
<listitem>
<para>L'utilisateur n'a pas lu et suivi les consid<69>ration de migration
pr<70>sent<6E>es dans les notes de mise <20> jour (<emphasis>release
notes</emphasis>) (ces notes sont aussi reproduites dans le document
<ulink url="upgrade_issues.htm">Shorewall Upgrade
Issues</ulink>).</para>
</listitem>
<listitem>
<para>L'utilisateur a mal g<>r<EFBFBD> son fichier
<filename>/etc/shorewall/shorewall.conf</filename> durant la mise <20>
niveau. Shorewall est con<6F>u pour permettre <20> son comportement par
d<>faut d'<27>voluer dans le temps. Pour que ce la soit possible, il est
suppos<6F> de conception que <emphasis role="bold">vous ne remplacerez
pas votre fichier shorewall.conf lors des mises <20> jour</emphasis>. Il
est donc recommand<6E> de modifier votre fichier
<filename>/etc/shorewall/shorewall.conf</filename> apr<70>s la premi<6D>re
installation de shorewall de fa<66>on <20> emp<6D>cher votre gestionnaire de
paquets de l'<27>craser lors de mises <20> jour ult<6C>rieures (m<>me pour
l'ajout de STARTUP_ENABLED, une telle modification est garantie
puisque vous devez changer son param<61>trage manuellement). Si vous vous
sentez vraiment tenu d'avoir les derniers commentaires et options dans
votre fichier <filename>shorewall.conf</filename>, vous devrez
proc<6F>der tr<74>s prudemment. Vous devrez d<>terminer quelles nouvelles
options ont <20>t<EFBFBD> introduites. Vous devrez r<>initialiser la valeur de
ces nouvelles options (par exemple OPTION=""), sinon, vous obtiendrez
un comportement diff<66>rent de celui auquel vous vous attendez.</para>
</listitem>
</itemizedlist>
</section>
<section id="Upgrade_RPM">
<title>Mise <20> jour avec un RPM</title>
<para>Si le RPM Shorewall est d<>j<EFBFBD> install<6C> et que vous mettez <20> jour vers
une nouvelle version:</para>
<orderedlist>
<listitem>
<para><emphasis role="bold">Assurez-vous d'avoir le bon paquetage
RPM!</emphasis></para>
<para>On sait que le paquetage RPM standard de shorewall.net et des
miroirs fonctionne avec <emphasis
role="bold"><trademark>SUSE</trademark></emphasis>, <emphasis
role="bold"><trademark>Power PPC</trademark></emphasis>, <emphasis
role="bold"><trademark>Trustix</trademark></emphasis> et <emphasis
role="bold"><trademark>TurboLinux</trademark></emphasis>. Il existe un
paquetage fourni par Simon Matter construit pour <trademark><emphasis
role="bold">RedHat/Fedora</emphasis></trademark> ainsi qu'un autre
paquetage de Jack Coates adapt<70> pour <emphasis
role="bold"><trademark>Mandriva</trademark></emphasis>. Il sont tous
disponibles sur la <ulink
url="http://www.shorewall.net/download.htm">page de
t<>l<EFBFBD>chargement</ulink>.</para>
<para>Si vous tentez d'installer le mauvais paquetage, il ne
fonctionnera probablement pas.</para>
</listitem>
<listitem>
<para>Proc<EFBFBD>dez <20> la mise <20> jour</para>
<programlisting><command>rpm -Uvh &lt;shorewall rpm file&gt;</command></programlisting>
<note>
<para>Certains utilisateur de SUSE ont rencontr<74> un probl<62>me dans
lequel rpm signale un conflit avec un noyau de version &lt;= 2.2
alors qu'un noyau 2.4 est install<6C>. Si ceci vous arrive, vous pouvez
simplement utiliser l'option --nodeps de rpm.</para>
<programlisting><command>rpm -Uvh --nodeps &lt;shorewall rpm&gt;</command></programlisting>
</note>
<note>
<para>A partir de Shorewall 1.4.0, Shorewall d<>pend du paquetage
iproute. Malheureusement, certaines distributions nomment ce
paquetage iproute2 ce qui provoquera un <20>chec de la mise <20> jour avec
le diagnostic suivant:</para>
<programlisting>error: failed dependencies:iproute is needed by shorewall-1.4.0-1</programlisting>
<para>Ceci peut <20>tre contourn<72> en utilisant l'option --nodeps de
rpm.</para>
<programlisting><command>rpm -Uvh --nodeps &lt;shorewall rpm&gt;</command></programlisting>
</note>
</listitem>
<listitem>
<para>Contr<EFBFBD>lez si il existe des incompatibilit<69>s entre votre
configuration et votre nouvelle version de Shorewall et corrigez quand
cela est n<>cessaire.</para>
<programlisting><command>shorewall check</command></programlisting>
</listitem>
<listitem>
<para>Red<EFBFBD>marrez le firewall.</para>
<programlisting><command>shorewall restart</command></programlisting>
</listitem>
</orderedlist>
</section>
<section id="Upgrade_Tarball">
<title>Mise <20> niveau avec le tarball</title>
<para>Si Shorewall est d<>j<EFBFBD> install<6C> et que vous proc<6F>dez <20> une mise <20>
jour de version avec le tarball:</para>
<orderedlist>
<listitem>
<para>D<EFBFBD>compressez le fichier.</para>
<programlisting><command>tar -zxf shorewall-x.y.z.tgz</command></programlisting>
</listitem>
<listitem>
<para>Allez dans le r<>pertoire Shorewall (la version est cod<6F>e dans le
nom du r<>pertoire comme dans <quote>shorewall-3.0.1</quote>).</para>
</listitem>
<listitem>
<para>Tapez:</para>
<programlisting><command>./install.sh</command></programlisting>
</listitem>
<listitem>
<para>Contr<EFBFBD>lez si il existe des incompatibilit<69>s entre votre
configuration et votre nouvelle version de Shorewall et corrigez quand
cela est n<>cessaire.</para>
<programlisting><command>shorewall check</command></programlisting>
</listitem>
<listitem>
<para>D<EFBFBD>marrez le firewall avec</para>
<programlisting><command>shorewall start</command></programlisting>
</listitem>
<listitem>
<para>Si le script d'installation n'a pas r<>ussi <20> configurer
Shorewall pour un d<>marrage automatique au boot du syst<73>me,
reportez-vous <20> <ulink url="starting_and_stopping_shorewall.htm">ces
instructions</ulink>.</para>
</listitem>
</orderedlist>
</section>
<section id="LRP_Upgrade">
<title>Mettre <20> jour avec le .lrp</title>
<para>Ceci est une contribution de Charles Steinkuehler post<73>e sur la
liste de diffusion Leaf:</para>
<blockquote>
<para>c'est *TR<54>S* simple... mettez un nouveau CD et red<65>marrez le
syst<73>me :-) En r<>alit<69>, je ne plaisante que tr<74>s peu... c'est exactement
de cette mani<6E>re que je mets <20> jour mes firewall de production. La
fonction de sauvegarde partielle que j'ai ajout<75>e <20> Dachstein permet de
stocker s<>par<61>ment les donn<6E>es de configuration et le reste du
paquetage.</para>
<para>Une fois les donn<6E>es de configuration s<>par<61>es du reste du
paquetage, il devient facile de proc<6F>der <20> la mise <20> jour du paquetage
en conservant votre configuration courante (dans mon cas, il me suffit
d'ins<6E>rer un nouveau CD et de rebooter).</para>
<para>L'id<69>e g<>n<EFBFBD>rale est d'utiliser un backup partiel pour sauvegarder
votre configuration, de remplacer le paquetage, puis de restaurer vos
anciens fichiers de configuration. Les instructions pas-<2D>-pas donn<6E>es
ci-apr<70>s proposent une mani<6E>re d'y parvenir (on suppose l'utilisation
d'un syst<73>me LEAF conventionnel sur une seule disquette):</para>
<itemizedlist>
<listitem>
<para>Faites une copie de sauvegarde de votre disquette firewall
('NEW'). C'est sur cette disquette que vous allez ajouter le(s)
paquetage(s) <20> jour.</para>
</listitem>
<listitem>
<para>Formattez une disquette que vous utiliserez comme emplacement
temporaire pour vos fichiers de configuration ('XFER'). Cette
disquette devrait avoir le m<>me format que votre disquette firewall
(une autre copie de sauvegarde de votre disquette firewall ferait
tr<74>s bien l'affaire).</para>
</listitem>
<listitem>
<para>Assurez-vous de disposer d'une copie fonctionnelle de votre
firewall existant ('OLD') dans un endroit s<>r, et que vous
N'UTILISEREZ PAS PENDANT ce processus. De cette fa<66>on, si quoi que
ce soit se passait mal, vous pourriez simplement rebooter avec cette
disquette OLD pour revenir <20> une configuration fonctionnelle.</para>
</listitem>
<listitem>
<para>Retirez la disquette firewall courante et remplacez-la par la
disquette XFER.</para>
</listitem>
<listitem>
<para>Utilisez le menu de sauvegarde de <command>lrcfg</command>
pour r<>aliser un backup partiel du(des) paquetage(s) que vous voulez
mettre <20> jour en vous assurant de sauvegarder les fichiers sur la
disquette XFER. Dans le menu de sauvegarde:</para>
<programlisting>t e &lt;enter&gt; p &lt;enter&gt;
b &lt;package1&gt; &lt;enter&gt;
b &lt;package2&gt; &lt;enter&gt;
...</programlisting>
</listitem>
<listitem>
<para>T<EFBFBD>l<EFBFBD>chargez et copiez le(s) paquetage(s) que vous voulez
mettre <20> jour sur la disquette NEW</para>
</listitem>
<listitem>
<para>Rebootez votre firewall en utilisant la disquette NEW... <20> ce
point du processus, les paquetages que vous mettez <20> jour sont avec
leur configuration par d<>faut.</para>
</listitem>
<listitem>
<para>Montez la disquette XFER (mount -t msdos /dev/fd0u1680
/mnt)</para>
</listitem>
<listitem>
<para>Allez dans le r<>pertoire racine (cd /)</para>
</listitem>
<listitem>
<para>Extrayez manuellement les donn<6E>es de configuration de chaque
paquetage que vous avez mis <20> jour:</para>
<programlisting>tar -xzvf /mnt/package1.lrp
tar -xzvf /mnt/package2.lrp
...</programlisting>
</listitem>
<listitem>
<para>D<EFBFBD>montez (umount /mnt) puis retirez la disquette XFER</para>
</listitem>
<listitem>
<para>En utilisant <command>lrcfg</command>, faites une sauvegarde
COMPL<50>TE de vos paquetages mis <20> jour.</para>
</listitem>
<listitem>
<para>Rebootez et v<>rifiez que le firewall fonctionne comme pr<70>vu.
Il peut <20>tre n<>cessaire d'ajuster certains fichiers de configuration
pour qu'ils fonctionnent convenablement avec les nouveaux
binaires.</para>
</listitem>
</itemizedlist>
<important>
<para>On peut utiliser le nouveau fichier de paquetage
&lt;paquetage&gt;.local pour fixer pr<70>cis<69>ment quels fichiers du
backup partiel seront inclus ou pas (pour plus d<>tails se reporter au
Dachstein-CD README). Si ce fichier n'existe pas, le script de backup
suppose que tous les fichiers de &lt;paquetage&gt;.list qui r<>sident
dans <filename class="directory">/etc</filename> ou dans <filename
class="directory">/var/lib/lrpkg</filename> font partie de la
configuration et sont utilis<69>s pour cr<63>er le backup partiel. Si
Shorewall installe quoi que ce soit dans <filename
class="directory">/etc</filename> qui ne soit pas un fichier de
configuration modifi<66> par l'utilisateur, un fichier
<filename>shorewall.local</filename> appropri<72> devrait <20>tre cr<63><72> avant
de faire le backup partiel [<emphasis role="bold">Remarque de
l'<27>diteur</emphasis>: Shorewall ne place dans
<filename>/etc/</filename> que des fichiers modifiables par
l'utilisateur].</para>
</important>
<note>
<para>Il est <20>videmment possible de r<>aliser tout cela 'sur-place',
sans utiliser plusieurs disquettes, et m<>me sans faire de backup
partiel (c.a.d. copier les fichiers de configuration courants dans
<filename>/tmp</filename>, extraire manuellement le nouveau paquetage
sur le firewall en cours d'ex<65>cution, copier et fusionner les donn<6E>es
de configuration depuis <filename>/tmp</filename> et du backup... ou
autre), mais quiconque est capable de cette gymnastique en ligne de
commande le fait sans doute d<>j<EFBFBD>, sans avoir besoin d'instructions
d<>taill<6C>es! :-)</para>
</note>
</blockquote>
<para>Pour des informations concernant d'autres outils de mise <20> jour
LEAF/Bering, consultez <ulink
url="http://cvs.sourceforge.net/viewcvs.py/*checkout*/leaf/devel/alexrh/lck/README.html">cet
article de Alex Rhomberg</ulink>.</para>
</section>
<section id="Config_Files">
<title>Configurer Shorewall</title>
<para>Vous devrez <20>diter certains voire la totalit<69> des fichiers de
configuration pour obtenir la configuration que vous souhaitez. Dans la
plupart des cas, les <ulink url="shorewall_quickstart_guide.htm">guides de
d<>marrage rapide shorewall</ulink> contiennent toute l'information dont
vous aurez besoin.</para>
</section>
<section>
<title>D<EFBFBD>sinstaller / Revenir <20> la version ant<6E>rieure</title>
<para>Voir <quote><ulink url="fallback.htm">Fallback and
Uninstall</ulink></quote>.</para>
</section>
</article>

654
docs/bridge_fr.xml
View File

@ -1,654 +0,0 @@
<?xml version="1.0" encoding="ISO-8859-15"?>
<!DOCTYPE article PUBLIC "-//OASIS//DTD DocBook XML V4.2//EN"
"http://www.oasis-open.org/docbook/xml/4.2/docbookx.dtd">
<article lang="fr">
<!--$Id$-->
<articleinfo>
<title>Shorewall et pont filtrant</title>
<subtitle>Version Fran<61>aise de <foreignphrase lang="en"><ulink
url="http://www.shorewall.net/bridge.html">Shorewall and Bridged
Firewalls</ulink></foreignphrase></subtitle>
<authorgroup>
<author>
<firstname>Tom</firstname>
<surname>Eastep</surname>
</author>
<othercredit role="translator">
<firstname>Guy</firstname>
<surname>Marcenac</surname>
<contrib>Adaptation fran<61>aise</contrib>
</othercredit>
</authorgroup>
<pubdate>2005-01-08</pubdate>
<copyright>
<year>2004-2006</year>
<holder>Thomas M. Eastep</holder>
<holder>Guy Marcenac</holder>
</copyright>
<legalnotice>
<para>Permission est accord<72>e de copier, distribuer et/ou modifier ce
document selon les termes de la Licence de Documentation Libre GNU (GNU
Free Documentation License), version 1.2 ou toute version ult<6C>rieure
publi<6C>e par la Free Software Foundation ; sans section Invariables, sans
premi<6D>re de Couverture, et sans texte de quatri<72>me de couverture. Une
copie de la pr<70>sente Licence est incluse dans la section intitul<75>e. Une
traduction fran<61>aise de la licence se trouve dans la section
<quote><ulink
url="http://www.idealx.org/dossier/oss/gfdl.fr.html">Licence de
Documentation Libre GNU</ulink></quote>. Ce paragraphe est une
traduction fran<61>aise pour aider <20> votre compr<70>hension. Seul le texte
original en anglais pr<70>sent<6E> ci-dessous fixe les conditions
d'utilisation de cette documentation.</para>
<para>Permission is granted to copy, distribute and/or modify this
document under the terms of the GNU Free Documentation License, Version
1.2 or any later version published by the Free Software Foundation; with
no Invariant Sections, with no Front-Cover, and with no Back-Cover
Texts. A copy of the license is included in the section entitled
<quote><ulink url="GnuCopyright.htm">GNU Free Documentation
License</ulink></quote>.</para>
</legalnotice>
</articleinfo>
<note>
<para><emphasis role="underline">Notes du traducteur :</emphasis> Si vous
trouvez des erreurs ou si vous avez des am<61>liorations <20> apporter <20> cette
documentation vous pouvez <ulink url="mailto:guy@posteurs.com">me
contacter</ulink>.</para>
</note>
<caution>
<para><emphasis role="bold">Cet article s'applique <20> Shorewall 3.0 et <20>
ses versions ult<6C>rieures. Si vous utilisez une version plus ancienne de
Shorewall, r<>f<EFBFBD>rez-vous <20> la documentation s'appliquant <20> votre
version.</emphasis></para>
</caution>
<section>
<title>Contexte</title>
<para>Les syst<73>mes sur lesquels tourne Shorewall fonctionnent en g<>n<EFBFBD>ral
comme des routeurs. Dans le mod<6F>le de r<>f<EFBFBD>rence OSI (Open System
Interconnect), un routeur op<6F>re au niveau 3. Shorewall peut <20>galement <20>tre
d<>ploy<6F> sur un syst<73>me GNU Linux se comportant comme un pont (bridge). Les
ponts sont des <20>quipements de niveau 2 dans le mod<6F>le OSI (pensez <20> un
pont comme <20> un switch ethernet).</para>
<para>Voici quelques-unes des diff<66>rences entre les routeurs et les
ponts:</para>
<orderedlist>
<listitem>
<para>Les routeurs d<>terminent la destination d'un paquet en fonction
de l'adresse IP de destination alors que les ponts routent le trafic
en fonction de l'adresse MAC de destination de la trame
ethernet.</para>
</listitem>
<listitem>
<para>Par cons<6E>quent, les routeurs peuvent <20>tre connect<63>s <20> plusieurs
r<>seaux IP alors qu'un pont ne peut appartenir qu'<27> un seul
r<>seau.</para>
</listitem>
<listitem>
<para>Dans la plupart des configurations, les routeurs ne font pas
suivre les paquets de diffusion (broadcast) alors que les ponts le
font.</para>
<note>
<para>Les conditions dans lesquelles un routeur peut ou doit faire
suivre les paquets de diffusion sont d<>crites dans la section 4 de
la RFC 1812.</para>
</note>
</listitem>
</orderedlist>
</section>
<section>
<title>Pr<EFBFBD>-requis syst<73>me</title>
<para>N'importe quelle version de Shorewall fera l'affaire si vous avez
besoin d'un pont mais que vous n'avez pas besoin de restreindre le trafic
<20> travers ce pont. Pour plus de d<>tails, reportez vous <20> la <ulink
url="SimpleBridge.html">Documentation pour un pont simple</ulink>.</para>
<para>Pour utiliser Shorewall comme pont filtrant:</para>
<itemizedlist>
<listitem>
<para>Votre noyau doit <20>tre compil<69> avec le support pour les ponts
(CONFIG_BRIDGE=m ou CONFIG_BRIDGE=y).</para>
</listitem>
<listitem>
<para>Votre noyau doit <20>tre compil<69> avec le support pour les
correspondances physdev de Netfilter (CONFIG_IP_NF_MATCH_PHYSDEV=m ou
CONFIG_IP_NF_MATCH_PHYSDEV=y). Le support des correspondances physdev
est en standard dans le noyau 2.6 mais doit <20>tre patch<63> dans les
noyaux 2.4 (voir <ulink
url="http://bridge.sf.net">http://bridge.sf.net</ulink>). Les
utilisateurs de Bering et de Bering uCLibc doivent trouver et
installer ipt_physdev.o pour leur distribution puis ajouter
<quote>ipt_physdev</quote> au fichier
<filename>/etc/modules</filename>.</para>
</listitem>
<listitem>
<para>Votre version d'<command>iptables</command> doit offrir le
support pour les correspondances physdev. Ceci est le cas avec
iptables 1.2.9 et toutes ses versions ult<6C>rieures.</para>
</listitem>
<listitem>
<para>Vous devez avoir install<6C> le paquetage des utilitaires pour les
ponts (bridge-utils).</para>
</listitem>
</itemizedlist>
</section>
<section>
<title>Application</title>
<para>Le diagramme au dessous pr<70>sente une application classique d'un
pont/firewall. Il y a d<>j<EFBFBD> un routeur install<6C> qui supporte un r<>seau
local sur son interface interne et vous voulez ins<6E>rer un firewall entre
ce routeur et les syst<73>mes de ce r<>seau local. Dans notre exemple, le
r<>seau local utilise des adresses de la RFC 1918 mais ceci n'est pas
obligatoire. Le pont marcherait de la m<>me fa<66>on si on utilisait des
adresses IP publiques (n'oubliez pas qu'un pont ne s'occupe pas d'adresses
IP).</para>
<graphic fileref="images/bridge.png" />
<para>Il existe des diff<66>rences cl<63> entre cette configuration et une
configuration normale de Shorewall:</para>
<itemizedlist>
<listitem>
<para>Le syst<73>me Shorewall Pont/Firewall ne poss<73>de qu'une seule
adresse IP m<>me si il dispose de deux interfaces ethernet ! Cette
adresse IP est configur<75>e sur le pont m<>me au lieu de l'<27>tre sur l'une
des cartes r<>seau.</para>
</listitem>
<listitem>
<para>Les syst<73>mes connect<63>s au LAN sont configur<75>s avec l'adresse du
routeur IP (192.168.1.254 dans notre exemple) comme passerelle par
d<>faut.</para>
</listitem>
<listitem>
<para><command>traceroute</command> ne d<>tectera pas le Pont/Firewall
comme un routeur interm<72>diaire</para>
</listitem>
<listitem>
<para>Si le routeur ex<65>cute un serveur DHCP, les h<>tes connect<63>s au
r<>seau local peuvent utiliser ce serveur sans avoir <20> ex<65>cuter
<command>dhcrelay</command> sure le Pont/Firewal.</para>
</listitem>
</itemizedlist>
<para>Voici d'autres possibilit<69>s -- Il pourrait y avoir un hub ou un
switch entre le routeur et le Pont/Firewall, et il pourrait y avoir
d'autres syst<73>mes connect<63>s <20> ce hub ou ce switch. Tous les syst<73>mes du
cot<6F> local du routeur devraient toujours <20>tre configur<75>s avec des adresses
IP prises dans 192.168.1./24.<graphic
fileref="images/bridge3.png" /></para>
</section>
<section>
<title>Configuration du pont</title>
<para>Configure le pont est une chose assez simple. On se sert de
l'utilitaire <command>brctl</command> issu du paquetage bridge-utils. Vous
trouverez des informations sur la configuration d'un pont <20> <ulink
url="http://bridge.sf.net">http://bridge.sf.net</ulink>.</para>
<para>Malheureusement peu de distributions Linux ont de bons outils de
configuration pour un pont et les outils de configuration r<>seau
graphiques ne d<>tectent pas la pr<70>sence d'un pont. Voici l'extrait d'un
fichier de configuration Debian pour un pont <20> deux interfaces et ayant
une adresse IP statique:</para>
<blockquote>
<programlisting>auto br0
iface br0 inet static
address 192.168.1.253
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
pre-up /sbin/ip link set eth0 up
pre-up /sbin/ip link set eth1 up
pre-up /usr/sbin/brctl addbr br0
pre-up /usr/sbin/brctl addif br0 eth0
pre-up /usr/sbin/brctl addif br0 eth1</programlisting>
</blockquote>
<para>Bien qu'il ne soit pas obligatoire de donner une adresse IP <20> un
pont, le faire permet au Pont/Firewall d'acc<63>der <20> d'autres syst<73>mes et
permet <20>galement l'administration distante du pont. Le pont doit aussi
avoir une adresse IP pour que les politiques et les r<>gles REJECT
fonctionnent correctement - sinon les r<>gles REJECT se comporteront
exactement de la m<>me mani<6E>re que des r<>gles DROP. Enfin, si un pont fait
partie d'un <link linkend="bridge-router">Pont/Routeur</link>, il est
<20>galement indispensable de lui donner une adresse IP.</para>
<important>
<para>Avant de configurer Shorewall, assurerez-vous d'avoir un pont qui
fonctionne et qui se lance au boot.</para>
</important>
<para>On peut attribuer une adresse IP au pont par DHCP.</para>
<para>Voici un fichier
<filename>/etc/sysconfig/network/ifcfg-br0</filename> issu d'un syst<73>me
<trademark>SUSE</trademark>:</para>
<blockquote>
<programlisting>BOOTPROTO='dhcp'
REMOTE_IPADDR=''
STARTMODE='onboot'
UNIQUE='3hqH.MjuOqWfSZ+C'
WIRELESS='no'
MTU=''</programlisting>
</blockquote>
<para>Voici un fichier
/<filename>etc/sysconfig/network-scripts/ifcfg-br0</filename> issu d'un
syst<73>me <trademark>Mandriva</trademark>:</para>
<blockquote>
<programlisting>DEVICE=br0
BOOTPROTO=dhcp
ONBOOT=yes</programlisting>
</blockquote>
<para>Aussi bien sur les syst<73>mes SUSE que sur les syst<73>mes Mandriva, il
faudra un script s<>par<61> pour configurer le pont.</para>
<para>Voil<EFBFBD> les scripts dont je me sers sur un syst<73>me
<trademark>Suse</trademark> 9.1.</para>
<blockquote>
<para><filename>/etc/sysconfig/network/ifcfg-br0</filename></para>
<programlisting>BOOTPROTO='dhcp'
REMOTE_IPADDR=''
STARTMODE='onboot'
UNIQUE='3hqH.MjuOqWfSZ+C'
WIRELESS='no'
MTU=''</programlisting>
<para><filename>/etc/init.d/bridge</filename><programlisting>#!/bin/sh
################################################################################
# Script to create a bridge
#
# (c) 2004 - Tom Eastep (teastep@shorewall.net)
#
# Modify the following variables to match your configuration
#
#### BEGIN INIT INFO
# Provides: bridge
# Required-Start: coldplug
# Required-Stop:
# Default-Start: 2 3 5
# Default-Stop: 0 1 6
# Description: starts and stops a bridge
### END INIT INFO
#
# chkconfig: 2345 05 89
# description: GRE/IP Tunnel
#
################################################################################
PATH=$PATH:/sbin:/usr/sbin:/usr/local/sbin
INTERFACES="eth1 eth0"
BRIDGE="br0"
MODULES="tulip"
do_stop() {
echo "Stopping Bridge $BRIDGE"
brctl delbr $BRIDGE
for interface in $INTERFACES; do
ip link set $interface down
done
}
do_start() {
echo "Starting Bridge $BRIDGE"
for module in $MODULES; do
modprobe $module
done
sleep 5
for interface in $INTERFACES; do
ip link set $interface up
done
brctl addbr $BRIDGE
for interface in $INTERFACES; do
brctl addif $BRIDGE $interface
done
}
case "$1" in
start)
do_start
;;
stop)
do_stop
;;
restart)
do_stop
sleep 1
do_start
;;
*)
echo "Usage: $0 {start|stop|restart}"
exit 1
esac
exit 0</programlisting></para>
</blockquote>
<para>Voici une contribution de Axel Westerhold qui propose cet exemple de
configuration d'un pont ayant une adresse statique sur un syst<73>me Fedora
(Core 1 and Core 2 Test 1). Remarquez que ces fichiers configurent
<20>galement le pont ce qui <20>vite d'avoir <20> <20>crire un script de configuration
s<>par<61>.</para>
<blockquote>
<para><filename>/etc/sysconfig/network-scripts/ifcfg-br0:</filename></para>
<programlisting>DEVICE=br0
TYPE=Bridge
IPADDR=192.168.50.14
NETMASK=255.255.255.0
ONBOOT=yes</programlisting>
<para><filename>/etc/sysconfig/network-scripts/ifcfg-eth0:</filename><programlisting>DEVICE=eth0
TYPE=ETHER
BRIDGE=br0
ONBOOT=yes</programlisting><filename>/etc/sysconfig/network-scripts/ifcfg-eth1:</filename><programlisting>DEVICE=eth1
TYPE=ETHER
BRIDGE=br0
ONBOOT=yes</programlisting></para>
</blockquote>
<para>Florin Grad de <trademark>Mandriva</trademark> fournit ce script
pour configurer un pont:</para>
<blockquote>
<programlisting>#!/bin/sh
# chkconfig: 2345 05 89
# description: Layer 2 Bridge
#
[ -f /etc/sysconfig/bridge ] &amp;&amp; . /etc/sysconfig/bridge
PATH=$PATH:/sbin:/usr/sbin:/usr/local/sbin
do_stop() {
echo "Stopping Bridge"
for i in $INTERFACES $BRIDGE_INTERFACE ; do
ip link set $i down
done
brctl delbr $BRIDGE_INTERFACE
}
do_start() {
echo "Starting Bridge"
for i in $INTERFACES ; do
ip link set $i up
done
brctl addbr br0
for i in $INTERFACES ; do
ip link set $i up
brctl addif br0 $i
done
ifup $BRIDGE_INTERFACE
}
case "$1" in
start)
do_start
;;
stop)
do_stop
;;
restart)
do_stop
sleep 1
do_start
;;
*)
echo "Usage: $0 {start|stop|restart}"
exit 1
esac
exit 0</programlisting>
<para>Le fichier <filename>/etc/sysconfig/bridge</filename>:</para>
<programlisting>BRIDGE_INTERFACE=br0 #The name of your Bridge
INTERFACES="eth0 eth1" #The physical interfaces to be bridged</programlisting>
</blockquote>
<para>Andrzej Szelachowski a propos<6F> la contribution suivante:</para>
<blockquote>
<programlisting>Here is how I configured bridge in Slackware:
1) I had to compile bridge-utils (It's not in the standard distribution)
2) I've created rc.bridge in /etc/rc.d:
#########################
#! /bin/sh
ifconfig eth0 0.0.0.0
ifconfig eth1 0.0.0.0
#ifconfig lo 127.0.0.1 #this line should be uncommented if you don't use rc.inet1
brctl addbr most
brctl addif most eth0
brctl addif most eth1
ifconfig most 192.168.1.31 netmask 255.255.255.0 up
#route add default gw 192.168.1.1 metric 1 #this line should be uncommented if
#you don't use rc.inet1
#########################
3) I made rc.brige executable and added the following line to /etc/rc.d/rc.local
/etc/rc.d/rc.bridge </programlisting>
</blockquote>
<para>Joshua Schmidlkofer a <20>crit:</para>
<blockquote>
<programlisting>Bridge Setup for Gentoo
#install bridge-utils
emerge bridge-utils
## create a link for net.br0
cd /etc/init.d
ln -s net.eth0 net.br0
# Remove net.eth*, add net.br0 and bridge.
rc-update del net.eth0
rc-update del net.eth1
rc-update add net.br0 default
rc-update add bridge boot
/etc/conf.d/bridge:
#bridge contains the name of each bridge you want created.
bridge="br0"
# bridge_&lt;bridge&gt;_devices contains the devices to use at bridge startup.
bridge_br0_devices="eth0 eth1"
/etc/conf.d/net
iface_br0="10.0.0.1 broadcast 10.0.0.255 netmask 255.255.255.0"
#for dhcp:
#iface_br0="dhcp"
#comment this out if you use dhcp.
gateway="eth0/10.0.0.1" </programlisting>
</blockquote>
<para>Les utilisateurs qui r<>ussissent dans la configuration d'un pont sur
d'autres distributions que celles pr<70>sent<6E>es plus haut, sont encourag<61>s <20>
<ulink url="mailto:webmaster@shorewall.net">m'envoyer</ulink> leurs
configurations afin que je puisse les publier ici.</para>
</section>
<section>
<title>Configuration de Shorewall</title>
<para>Dans Shorewall, on active le mode Pont avec l'option BRIDGING du
fichier <filename>/etc/shorewall/shorewall.conf</filename>:</para>
<programlisting>BRIDGING=Yes</programlisting>
<para>Dans le sc<73>nario pr<70>sent<6E> plus haut, il y aurait probablement deux
zones d<>finies. - une pour internet et une pour le r<>seau local, ce qui
donnerait un fichier <filename>/etc/shorewall/zones</filename> comme
celui-ci:</para>
<programlisting>#ZONE TYPE OPTIONS
fw firewall
net ipv4
loc ipv4
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE</programlisting>
<para>Une politique habituelle <20> deux zones est parfaitement adapt<70>e <20> ce
cas &mdash; <filename>/etc/shorewall/policy</filename>:</para>
<programlisting>#SOURCE DEST POLICY LOG LIMIT:BURST
loc net ACCEPT
net all DROP info
all all REJECT info
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE</programlisting>
<para>Puisque c'est le pont lui-m<>me qui est configur<75> avec une adresse
IP, seul ce dispositif doit <20>tre d<>fini pour Shorewall dans
<filename>/etc/shorewall/interfaces</filename>:</para>
<programlisting>#ZONE INTERFACE BROADCAST OPTIONS
- br0 192.168.1.255
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE</programlisting>
<para>Les zones sont d<>finies en utilisant le fichier
<filename>/etc/shorewall/hosts</filename>. En supposant que le routeur est
connect<63> <20> <filename class="devicefile">eth0</filename> et que le switch
est connect<63> <20> <filename class="devicefile">eth1</filename>:</para>
<programlisting>#ZONE HOST(S) OPTIONS
net br0:eth0
loc br0:eth1
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS LINE -- DO NOT REMOVE</programlisting>
<para>M<EFBFBD>me lorsque Shorewall est arr<72>t<EFBFBD>, vous voudrez probablement
autoriser le trafic <20> transiter par le pont &mdash;
<filename><filename>/etc/shorewall/routestopped</filename></filename>:</para>
<programlisting>#INTERFACE HOST(S) OPTIONS
br0 192.168.1.0/24 routeback
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE</programlisting>
<para>Pour la d<>finition de votre jeu de r<>gles pour votre firewall, vous
pouvez prendre comme point de d<>part le fichier
<filename>/etc/shorewall/rules</filename> pr<70>sent<6E> dans l'exemple de
Firewall <20> Deux Interfaces.</para>
</section>
<section id="bridge-router">
<title>Combinaison Pont/Routeur</title>
<para>Un syst<73>me Shorewall n'a pas <20> s'ex<65>cuter exclusivement comme un
pont ou bien comme un routeur -- il peut parfaitement faire les deux.
Voici un exemple:<graphic fileref="images/bridge2.png" /></para>
<para>Il s'agit quasiment de la m<>me configuration que celle pr<70>sent<6E>e
dans le <ulink url="shorewall_setup_guide_fr.htm">Guide de Configuration
de Shorewall</ulink> si ce n'est que la DMZ utilise un pont plut<75>t qu'un
Proxy ARP. Les modifications <20> apporter <20> la configuration pr<70>sent<6E>e dans
le Guide de Configuration sont les suivants:</para>
<orderedlist>
<listitem>
<para>Le fichier <filename>/etc/shorewall/proxyarp</filename> doit
<20>tre vide dans cette configuration.</para>
</listitem>
<listitem>
<para>Le fichier <filename>/etc/shorewall/interfaces</filename>
ressemble <20> ceci:<programlisting>#ZONE INTERFACE BROADCAST OPTIONS
- br0 detect routefilter
loc eth1 detect</programlisting></para>
</listitem>
<listitem>
<para>Le fichier <filename>/etc/shorewall/hosts</filename> devrait
avoir:</para>
<programlisting>#ZONE HOSTS OPTIONS
net br0:eth0
dmz br0:eth2</programlisting>
</listitem>
<listitem>
<para>Les syst<73>mes en DMZ ont besoin d'avoir une route par 192.0.2.176
vers le r<>seau 192.168.201.0/24 afin qu'ils puissent communiquer avec
le r<>seau local.</para>
</listitem>
</orderedlist>
</section>
<section>
<title>Limites</title>
<para>Avec certaines cartes sans fil, le mode pont ne fonctionne pas
&mdash; vous pouvez regarder <20> <ulink
url="http://bridge.sf.net">http://bridge.sf.net</ulink>.</para>
</section>
<section>
<title>Liens</title>
<itemizedlist>
<listitem>
<para><ulink
url="http://wiki.buenosaireslibre.org/HowTos_2fBridgedFirewall">Vous
trouverez ici un article en Espagnol</ulink> qui pr<70>sente de mani<6E>re
d<>taill<6C>e comment <quote>ponter</quote> un r<>seau public et un r<>seau
local avec Shorewall. Il s'agit d'une autre configuration en
Pont/Routeur.</para>
</listitem>
</itemizedlist>
</section>
</article>

2653
docs/shorewall_setup_guide_fr.xml
View File

File diff suppressed because it is too large Load Diff

616
docs/standalone_fr.xml
View File

@ -1,616 +0,0 @@
<?xml version="1.0" encoding="ISO-8859-15"?>
<!DOCTYPE article PUBLIC "-//OASIS//DTD DocBook XML V4.2//EN"
"http://www.oasis-open.org/docbook/xml/4.2/docbookx.dtd">
<article id="standalone_fr" lang="fr">
<!--$Id$-->
<articleinfo>
<title>Firewall Monoposte (une interface)</title>
<subtitle>Version Fran<61>aise de <foreignphrase lang="en"><ulink
url="http://www.shorewall.net/standalone.htm">Standalone
Firewall</ulink></foreignphrase></subtitle>
<authorgroup>
<author>
<firstname>Tom</firstname>
<surname>Eastep</surname>
</author>
<othercredit role="translator">
<firstname>Patrice</firstname>
<surname>Vetsel</surname>
<contrib>Traduction fran<61>aise initiale</contrib>
</othercredit>
<othercredit role="translator">
<firstname>Fabien</firstname>
<surname>Demassieux</surname>
<contrib>Adaptation fran<61>aise version 2.0</contrib>
</othercredit>
<othercredit role="translator">
<firstname>Guy</firstname>
<surname>Marcenac</surname>
<contrib>Adaptation fran<61>aise version 3.0</contrib>
</othercredit>
</authorgroup>
<pubdate>2006-02-26</pubdate>
<copyright>
<year>2002-2006</year>
<holder>Thomas M. Eastep</holder>
<holder>Patrice Vetsel</holder>
<holder>Fabien Demassieux</holder>
<holder>Guy Marcenac</holder>
</copyright>
<legalnotice>
<para>Permission est accord<72>e de copier, distribuer et/ou modifier ce
document selon les termes de la Licence de Documentation Libre GNU (GNU
Free Documentation License), version 1.2 ou toute version ult<6C>rieure
publi<6C>e par la Free Software Foundation ; sans section Invariables, sans
premi<6D>re de Couverture, et sans texte de quatri<72>me de couverture. Une
copie de la pr<70>sente Licence est incluse dans la section intitul<75>e. Une
traduction fran<61>aise de la licence se trouve dans la section
<quote><ulink
url="http://www.idealx.org/dossier/oss/gfdl.fr.html">Licence de
Documentation Libre GNU</ulink></quote>. Ce paragraphe est une
traduction fran<61>aise pour aider <20> votre compr<70>hension. Seul le texte
original en anglais pr<70>sent<6E> ci-dessous fixe les conditions
d'utilisation de cette documentation.</para>
<para>Permission is granted to copy, distribute and/or modify this
document under the terms of the GNU Free Documentation License, Version
1.2 or any later version published by the Free Software Foundation; with
no Invariant Sections, with no Front-Cover, and with no Back-Cover
Texts. A copy of the license is included in the section entitled
<quote><ulink url="GnuCopyright.htm">GNU Free Documentation
License</ulink></quote>.</para>
</legalnotice>
</articleinfo>
<note>
<para><emphasis role="underline">Notes du traducteur :</emphasis> Le guide
initial a <20>t<EFBFBD> traduit par <ulink
url="mailto:vetsel.patrice@wanadoo.fr">VETSEL Patrice</ulink> et la
r<>vision pour la version 2 de Shorewall a <20>t<EFBFBD> effectu<74>e par <ulink
url="mailto:fd03x@wanadoo.fr">Fabien Demassieux</ulink>. J'ai assur<75> la
r<>vision pour l'adapter <20> la version 3 de Shorewall. Si vous trouvez des
erreurs ou des am<61>liorations <20> y apporter vous pouvez <ulink
url="mailto:guy@posteurs.com">me contacter</ulink>.</para>
</note>
<caution>
<para><emphasis role="bold">Cet article s'applique <20> Shorewall 3.0 et <20>
ses versions ult<6C>rieures. Si vous utilisez une version plus ancienne de
Shorewall, r<>f<EFBFBD>rez-vous <20> la documentation s'appliquant <20> votre
version.</emphasis></para>
</caution>
<warning>
<para>Les fichiers de configuration pour l'exemple fournis avec Shorewall
3.0.0 et 3.0.1 ne fonctionnaient pas. La premi<6D>re erreur <20> se produire
<20>tait:</para>
<para><emphasis role="bold">ERROR: No Firewall Zone
Defined</emphasis></para>
<para>Vous trouverez les fichiers corrig<69>s 'zones' et 'interfaces' <20> cette
adresse <ulink
url="http://www.shorewall.net/pub/shorewall/3.0/shorewall-3.0.1/errata/one-interface/">http://www.shorewall.net/pub/shorewall/3.0/shorewall-3.0.1/errata/one-interface/</ulink>.</para>
<para>Le probl<62>me a <20>t<EFBFBD> r<>solu avec Shorewall 3.0.2.</para>
</warning>
<section>
<title>Introduction</title>
<para>Configurer Shorewall sur un syst<73>me isol<6F> Linux est tr<74>s simple si
vous comprenez les bases et suivez la documentation.</para>
<para>Ce guide ne pr<70>tend pas vous apprendre tous les rouages de
Shorewall. Il se concentre sur ce qui est n<>cessaire pour configurer
Shorewall dans son utilisation la plus courante :</para>
<itemizedlist>
<listitem>
<para>Un syst<73>me Linux</para>
</listitem>
<listitem>
<para>Une seule adresse IP externe</para>
</listitem>
<listitem>
<para>Une connexion passant par un modem c<>ble,
<acronym>ADSL</acronym>, <acronym>ISDN-RNIS</acronym>, Frame Relay,
<acronym>RTC</acronym>... ou bien une connexion <20> un r<>seau local
(<acronym>LAN</acronym>) et vous souhaitez simplement prot<6F>ger votre
syst<73>me Linux des autres syst<73>mes sur ce r<>seau local.</para>
</listitem>
</itemizedlist>
<section>
<title>Pr<EFBFBD>-requis syst<73>me</title>
<para>Shorewall a besoin que le package
<command><command>iproute</command></command>/<command><command>iproute2</command></command>
soit install<6C> (avec la distribution <trademark>RedHat</trademark>, le
package s'appelle <command>iproute</command>). Vous pouvez v<>rifier que
le package est install<6C> en contr<74>lant la pr<70>sence du programme
<command><command>ip</command></command> sur votre firewall. En tant que
<systemitem class="username">root</systemitem>, vous pouvez utiliser la
commande <command><command>which</command></command> pour cela:</para>
<programlisting>[root@gateway root]# <command>which ip</command>
/sbin/ip
[root@gateway root]#</programlisting>
</section>
<section>
<title>Avant de commencer</title>
<para>Je vous recommande de commencer par une lecture compl<70>te du guide
afin de vous familiariser avec les concepts mis en oeuvre, puis de
recommencer la lecture et seulement alors d'appliquer vos modifications
de configuration.</para>
<caution>
<para>Si vous <20>ditez vos fichiers de configuration sur un syst<73>me
<trademark>Windows</trademark>, vous devez les enregistrer comme des
fichiers <trademark>Unix</trademark> si votre <20>diteur supporte cette
option, sinon vous devez les convertir avec
<command>dos2unix</command> avant d'essayer de les utiliser. De la
m<>me mani<6E>re, si vous copiez un fichier de configuration depuis votre
disque dur <trademark>Windows</trademark> vers une disquette, vous
devez lancer <command>dos2unix</command> sur la copie avant de
l'utiliser avec Shorewall.</para>
<simplelist>
<member><ulink url="http://www.simtel.net/pub/pd/51438.html">Version
Windows de dos2unix</ulink></member>
<member><ulink
url="http://www.megaloman.com/~hany/software/hd2u/">Version Linux de
dos2unix</ulink></member>
</simplelist>
</caution>
</section>
<section>
<title>Conventions</title>
<para>Les points ou les modifications qui s'imposent sont indiqu<71>s par
<inlinegraphic fileref="images/BD21298_.gif" format="GIF" />.</para>
</section>
</section>
<section>
<title>PPTP/ADSL</title>
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
<para>Si vous <20>tes <20>quip<69> d'un modem
<acronym><acronym>ADSL</acronym></acronym> et que vous utilisez
<acronym><acronym>PPTP</acronym></acronym> pour communiquer avec un
serveur <20> travers ce modem, vous devez faire les changements <ulink
url="PPTP.htm#PPTP_ADSL">suivants</ulink> en plus de ceux d<>crits
ci-dessous. <acronym><acronym>ADSL</acronym></acronym> avec
<acronym><acronym>PPTP</acronym></acronym> est r<>pandu en Europe,
notamment en Autriche.</para>
</section>
<section>
<title>Les Concepts de Shorewall</title>
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
<para>Les fichiers de configuration pour Shorewall sont situ<74>s dans le
r<>pertoire <filename class="directory">/etc/shorewall</filename> -- pour
de simples param<61>trages, vous n'aurez <20> faire qu'avec quelques-uns d'entre
eux comme d<>crit dans ce guide. Apr<70>s avoir <ulink
url="Install_fr.htm">install<EFBFBD> Shorewall</ulink>,vous pourrez trouver les
exemples de la mani<6E>re suivante:</para>
<para><orderedlist>
<listitem>
<para>Si vous avez install<6C> shorewall en utilisant un
<acronym>RPM</acronym>, les exemples seront dans le sous-r<>pertoire
<filename class="directory">Samples/one-interface/</filename> du
r<>pertoire de la documentation de Shorewall. Si vous ne savez pas o<>
se trouve le r<>pertoire de la documentation de Shorewall, vous
pouvez trouver les exemples en utilisant cette commande:</para>
<programlisting>~# rpm -ql shorewall | fgrep one-interface
/usr/share/doc/packages/shorewall/Samples/one-interface
/usr/share/doc/packages/shorewall/Samples/one-interface/interfaces
/usr/share/doc/packages/shorewall/Samples/one-interface/policy
/usr/share/doc/packages/shorewall/Samples/one-interface/rules
/usr/share/doc/packages/shorewall/Samples/one-interface/zones
~#</programlisting>
</listitem>
<listitem>
<para>Si vous avez install<6C> depuis le tarball, les exemples sont
dans le r<>pertoire <filename>Samples/one-interface</filename> du
tarball.</para>
</listitem>
<listitem>
<para>Si vous avez install<6C> en utilisant un .deb, les exemples sont
dans
<filename>/usr/share/doc/shorewall/examples/one-interface</filename>.</para>
</listitem>
</orderedlist><warning>
<para><emphasis role="bold">Note aux utilisateurs de
Debian</emphasis></para>
<para>Si vous vous servez du .deb pour installer, vous vous rendrez
compte que votre r<>pertoire <filename>/etc/shorewall</filename> est
vide. Ceci est voulu. Les squelettes des fichiers de configuration se
trouvent sur votre syst<73>me dans le r<>pertoire <filename
class="directory">/usr/share/doc/shorewall/default-config</filename>.
Copiez simplement les fichiers dont vous avez besoin depuis ce
r<>pertoire dans <filename class="directory">/etc/shorewall</filename>,
puis modifiez ces copies.</para>
<para>Remarquez que vous devez copier
<filename>/usr/share/doc/shorewall/default-config/shorewall.conf</filename>
et
<filename>/usr/share/doc/shorewall/default-config/modules</filename>
dans <filename
class="directory"><filename>/etc/shorewall</filename></filename> m<>me
si vous ne modifiez pas ces fichiers.</para>
</warning></para>
<para>Au fur et <20> mesure de la pr<70>sentation de chaque fichier, je vous
sugg<67>re de jeter un oeil <20> ceux qui sont physiquement pr<70>sents sur votre
syst<73>me -- chacun de ces fichiers contient des instructions de
configuration d<>taill<6C>es et des entr<74>es par d<>faut.</para>
<para>Shorewall voit le r<>seau o<> il fonctionne, comme <20>tant compos<6F> d'un
ensemble de <emphasis>zones</emphasis>. Dans les fichiers de configuration
fournis dans l'archive d'exemples pour une seule interface, deux zones
seulement sont d<>finies :</para>
<para><programlisting>#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4</programlisting></para>
<para>Les zones de Shorewall sont d<>finies dans <filename><ulink
url="Documentation.htm#Zones">/etc/shorewall/zones</ulink></filename>.</para>
<para>Remarquez que Shorewall reconna<6E>t le syst<73>me de firewall comme <20>tant
sa propre zone. Le nom de la zone firewall (<emphasis
role="bold">fw</emphasis> dans l'exemple plus haut) est stock<63> dans la
variable d'environnement <emphasis>$FW,</emphasis> qui peut <20>tre utilis<69>e
depuis l'ensemble des autres fichiers de configuration de Shorewall pour
faire r<>f<EFBFBD>rence au firewall lui-m<>me.</para>
<para>Les r<>gles concernant le trafic <20> autoriser ou <20> interdire sont
exprim<69>es en utilisant les termes de zones.</para>
<itemizedlist>
<listitem>
<para>Vous exprimez votre politique par d<>faut pour les connexions
d'une zone vers une autre zone dans le fichier <ulink
url="Documentation.htm#Policy"><filename
class="directory">/etc/shorewall/policy</filename></ulink>.</para>
</listitem>
<listitem>
<para>Vous d<>finissez les exceptions <20> ces politiques pas d<>faut dans
le fichier <ulink
url="Documentation.htm#Rules"><filename>/etc/shorewall/rules</filename></ulink>.</para>
</listitem>
</itemizedlist>
<para>Pour chaque connexion demandant <20> entrer dans le firewall, la
requ<71>te est en premier lieu v<>rifi<66>e par rapport au contenu du fichier
<filename class="directory">/etc/shorewall/rules</filename>. Si aucune
r<>gle dans ce fichier ne correspond <20> la demande de connexion alors la
premi<6D>re politique dans le fichier
<filename>/etc/shorewall/policy</filename> qui y correspond sera
appliqu<71>e. S'il y a une <ulink
url="shorewall_extension_scripts.htm">action commune</ulink> d<>finie pour
cette politique dans <filename>/etc/shorewall/actions</filename> ou dans
<filename>/usr/share/shorewall/actions.std</filename> cette action commune
sera ex<65>cut<75>e avant que la politique ne soit appliqu<71>e.</para>
<para>Le fichier <filename>/etc/shorewall/policy</filename> inclus dans
l'archive d'exemple (one-interface) contient les politiques
suivantes:</para>
<programlisting>#SOURCE ZONE DESTINATION ZONE POLICY LOG LEVEL LIMIT:BURST
$FW net ACCEPT
net all DROP info
all all REJECT info</programlisting>
<para>Ces politiques vont :</para>
<orderedlist>
<listitem>
<para>Autoriser (ACCEPT) toute demande de connexion depuis le firewall
vers internet</para>
</listitem>
<listitem>
<para>Ignorer (DROP) toutes les demandes de connexion depuis internet
vers votre firewall</para>
</listitem>
<listitem>
<para>Rejeter (REJECT) toutes les autres requ<71>tes de connexion.
Shorewall <20> toujours besoin de cette derni<6E>re politique.</para>
</listitem>
</orderedlist>
<para><inlinegraphic fileref="images/BD21298_.gif" /> A ce point, <20>ditez
votre <filename>/etc/shorewall/policy</filename> et faites y les
changements que vous d<>sirez.</para>
</section>
<section>
<title>Interface Externe</title>
<para>Le firewall poss<73>de une seule interface r<>seau. Lorsque la connexion
internet passe par un "modem" c<>ble ou
<acronym><acronym>ADSL</acronym></acronym>, l'<emphasis>Interface
Externe</emphasis> sera l'adaptateur ethernet qui est connect<63> <20> ce
<quote>Modem</quote> (par exemple <filename
class="devicefile">eth0</filename>). Par contre, si vous vous connectez
par <emphasis role="bold"><acronym>PPPoE</acronym></emphasis>
(<emphasis>Point-to-Point Protocol</emphasis> over Ethernet) ou par
<emphasis role="bold"><acronym>PPTP</acronym></emphasis>
<emphasis>(Point-to-Point Tunneling Protocol), </emphasis>l'interface
externe sera une interface ppp (par exemple <filename
class="devicefile">ppp0</filename>). Si vous vous connectez par un simple
modem <acronym><acronym>RTC</acronym></acronym>, votre interface externe
sera aussi <filename class="devicefile">ppp0</filename>. Si vous vous
connectez en utilisant l'<acronym><acronym>ISDN</acronym></acronym>, votre
interface externe sera <filename
class="devicefile">ippp0</filename>.</para>
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
<para>Les fichiers de configuration d'exemple pour le firewall monoposte
(one-interface) supposent que votre interface externe est <filename
class="devicefile">eth0</filename>. Si votre configuration est diff<66>rente,
vous devrez modifier le
fichier<filename>/etc/shorewall/interfaces</filename> en cons<6E>quence. Tant
que vous y <20>tes, vous pourriez parcourir la liste des options qui sont
sp<73>cifi<66>es pour les interfaces. Quelques astuces:</para>
<tip>
<para>Si votre interface vers l'ext<78>rieur est <emphasis
role="bold"><filename class="devicefile">ppp0</filename></emphasis>
ou<emphasis role="bold"> <filename
class="devicefile">ippp0</filename></emphasis>, vous pouvez remplacer le
<quote>detect</quote> dans la seconde colonne par un <quote>-</quote>
(sans guillemets).</para>
</tip>
<tip>
<para>Si votre interface vers l'ext<78>rieur est <emphasis
role="bold"><filename class="devicefile">ppp0</filename></emphasis> or
<emphasis role="bold"><filename
class="devicefile">ippp0</filename></emphasis> ou si vous avez une
adresse <acronym>IP</acronym> statique, vous pouvez enlever
<quote>dhcp</quote> de la liste des options .</para>
</tip>
</section>
<section>
<title>Adresses IP</title>
<para>Avant d'aller plus loin, nous devons dire quelques mots au sujet des
adresses IP. Normalement, votre Fournisseur d' Acc<63>s Internet
(<acronym>FAI</acronym>) ne vous allouera qu'une seule adresse IP. Cette
adresse peut vous <20>tre allou<6F>e par <acronym>DHCP</acronym> (Dynamic Host
Configuration Protocol), lors de l'<27>tablissement de votre connexion (modem
standard) ou bien lorsque vous <20>tablissez un autre type de connexion
<acronym>PPP</acronym> (<acronym>PPPoA</acronym>,
<acronym>PPPoE</acronym>, etc.). Dans certains cas , votre fournisseur
peut vous allouer une adresse statique IP. Dans ce cas vous devez
configurer l'interface externe de votre firewall afin d'utiliser cette
adresse de mani<6E>re permanente.</para>
<para>La RFC 1918 r<>serve des plages d'adresses IP pour utilisation dans
les r<>seau priv<69>s:</para>
<programlisting>10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255</programlisting>
<para>Ces adresses sont parfois nomm<6D>es <emphasis>non-routables</emphasis>
car les routeurs centraux d'internet ne transf<73>rent pas un paquet dont la
destination est une adresse r<>serv<72>e par la RFC 1918. Dans certain cas
cependant, les <acronym>FAI</acronym> (fournisseurs d'acc<63>s Internet)
peuvent vous affecter une de ces adresses et utiliser la Traduction
d'Adresses R<>seau (<acronym>NAT</acronym> <emphasis>Network Address
Translation</emphasis>) pour r<><72>crire les en-t<>tes des paquets transmis en
provenance ou <20> destination d'internet.</para>
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
<para>Avant de lancer Shorewall, <emphasis role="bold">il faut
imp<6D>rativement regarder l'adresse IP de votre interface externe, et, si
elle est dans l'une des plages pr<70>c<EFBFBD>dentes, vous devez enlever l'option
"norfc1918" dans la ligne concernant l'interface externe dans le fichier
<filename><filename
class="directory">/etc/shorewall/</filename><filename>interfaces</filename></filename></emphasis>.</para>
</section>
<section>
<title>Permettre d'autres connexions</title>
<para>Shorewall inclue une collection de <ulink url="???">macros</ulink>
qui peuvent <20>tre utilis<69>es pour rapidement autoriser ou refuser des
services. Vous pouvez trouver une liste des macros comprises dans votre
version de Shorewall en utilisant la commande <command>ls
<filename>/usr/share/shorewall/macro.*</filename></command> ou bien la
commande <command>shorewall show macros</command> si vous utilisez une
version 3.0.3 ou ult<6C>rieure de shorewall.</para>
<para>Si vous souhaitez autoriser des connexions depuis internet vers
votre firewall et que vous avez trouv<75> une macro appropri<72>e dans
<filename><filename>/etc/shorewall/macro.*</filename></filename>, le
format g<>n<EFBFBD>ral d'une r<>gle dans <filename>/etc/shorewall/rules</filename>
est le suivant:</para>
<programlisting>#ACTION SOURCE DESTINATION PROTO DEST PORT(S)
&lt;<emphasis>macro</emphasis>&gt;/ACCEPT net $FW</programlisting>
<important>
<para>Assurez-vous d'ajouter vos r<>gles apr<70>s la ligne contenant
<emphasis role="bold">SECTION NEW.</emphasis></para>
</important>
<example>
<title>Un serveur Web et un serveur IMAP sur votre firewall, accessibles
depuis l'ext<78>rieur:</title>
<programlisting>#ACTION SOURCE DESTINATION PROTO DEST PORT(S)
Web/ACCEPT net $FW
IMAP/ACCEPT net $FW</programlisting>
</example>
<para>Vous pouvez aussi choisir de coder vos r<>gles directement, sans
utiliser de macro pr<70>-d<>finie. Ceci sera n<>cessaire quand aucune macro
pr<70>-d<>finie ne r<>pond <20> vos besoins. Dans ce cas, le format g<>n<EFBFBD>ral d'une
r<>gle dans <filename>/etc/shorewall/rules</filename> est:</para>
<programlisting>#ACTION SOURCE DESTINATION PROTO DEST PORT(S)
ACCEPT net $FW <emphasis>&lt;protocol&gt;</emphasis> <emphasis>&lt;port&gt;</emphasis></programlisting>
<example>
<title>Un serveur Web et un serveur IMAP sur votre firewall, accessibles
depuis l'ext<78>rieur:</title>
<para><programlisting>#ACTION SOURCE DESTINATION PROTO DEST PORT(S)
ACCEPT net $FW tcp 80
ACCEPT net $FW tcp 143</programlisting></para>
</example>
<para>Si vous ne savez pas quel port ou protocole utilise une application
donn<6E>e, allez voir <ulink url="ports.htm">ici</ulink>.</para>
<important>
<para>Je ne recommande pas d'activer <command>telnet</command>
depuis/vers internet car il utilise du texte en clair (y compris pour le
login !). Si vous voulez un acc<63>s shell <20> votre firewall, utilisez
SSH:</para>
<programlisting>#ACTION SOURCE DESTINATION PROTO DEST PORT(S)
SSH/ACCEPT net $FW </programlisting>
</important>
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
<para>Maintenant, <20>ditez votre fichier de configuration <filename
class="directory">/etc/shorewall/</filename><filename>rules</filename>
pour ajouter, modifier ou supprimer d'autres connexions suivant vos
besoins.</para>
</section>
<section>
<title>D<EFBFBD>marrer et Arr<72>ter Votre Firewall</title>
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
<para>La <ulink url="Install_fr.htm">proc<EFBFBD>dure d'installation</ulink>
configure votre syst<73>me pour lancer Shorewall d<>s le boot du syst<73>me, mais
le lancement est d<>sactiv<69>, de fa<66>on <20> ce que votre syst<73>me ne tente pas
de lancer Shorewall avant que la configuration ne soit termin<69>e. Une fois
que vous en avez fini avec la configuration du firewall, vous devez <20>diter
/etc/shorewall/shorewall.conf et y mettre STARTUP_ENABLED=Yes.</para>
<important>
<para><emphasis role="bold">Les utilisateurs des paquets .deb doivent
<20>diter <filename>/etc/default/shorewall</filename> et mettre
<varname>startup=1</varname></emphasis>.</para>
</important>
<important>
<para><emphasis role="bold">Vous devez activer le lancement de Shorewall
en <20>ditant <filename>/etc/shorewall/shorewall.conf</filename> et en y
mettant <command>STARTUP_ENABLED=Yes</command>.</emphasis></para>
</important>
<para>Le firewall est activ<69> en utilisant la commande
<quote><command>shorewall start</command></quote> et arr<72>t<EFBFBD> avec la
commande <quote><command>shorewall stop</command></quote>. Lorsque le
firewall est arr<72>t<EFBFBD>, le routage est autoris<69> sur les h<>tes qui poss<73>dent
une entr<74>e dans <filename class="directory"><ulink
url="Documentation.htm#Routestopped">/etc/shorewall/routestopped</ulink></filename>.
Un firewall qui tourne peut <20>tre relanc<6E> en utilisant la commande
<quote><command>shorewall restart</command></quote>. Si vous voulez
enlever toute trace de Shorewall sur votre configuration de Netfilter,
utilisez <quote><emphasis role="bold">shorewall
clear</emphasis></quote></para>
<warning>
<para>Si vous <20>tes connect<63> <20> votre firewall depuis internet, n'essayez
pas d'ex<65>cuter une commande <quote><command>shorewall
stop</command></quote> tant que vous n'avez pas ajout<75> une entr<74>e dans
<filename><filename
class="directory">/etc/shorewall/</filename><filename>routestopped</filename></filename>
pour l'adresse IP <20> partir de laquelle vous <20>tes connect<63> . De la m<>me
mani<6E>re, je vous d<>conseille d'utiliser <quote><command>shorewall
restart</command></quote>; il est plus int<6E>ressant de cr<63>er <ulink
url="configuration_file_basics.htm#Configs">une configuration
alternative</ulink> et de la tester en utilisant la commande
<quote><ulink url="starting_and_stopping_shorewall.htm">shorewall
try</ulink></quote></para>
</warning>
</section>
<section>
<title>Si cela ne marche pas</title>
<itemizedlist>
<listitem>
<para>V<EFBFBD>rifiez <20> nouveau chacun des points rep<65>r<EFBFBD>s par un fl<66>che
rouge.</para>
</listitem>
<listitem>
<para>V<EFBFBD>rifiez vos <ulink
url="shorewall_logging.html">journaux</ulink>.</para>
</listitem>
<listitem>
<para>V<EFBFBD>rifiez le <ulink url="troubleshoot.htm">Troubleshooting
Guide</ulink>.</para>
</listitem>
<listitem>
<para>V<EFBFBD>rifiez la <ulink url="FAQ_fr.htm">FAQ</ulink>.</para>
</listitem>
</itemizedlist>
</section>
<section>
<title>Autres Lectures Recommand<6E>es</title>
<para>Je vous recommande vivement de lire la <ulink
url="configuration_file_basics.htm">page des fonctionnalit<69>s g<>n<EFBFBD>rales des
fichiers de configuration</ulink> -- elle contient des astuces sur des
possibilit<69>s de Shorewall qui peuvent rendre plus ais<69>e l'administration
de votre firewall Shorewall.</para>
</section>
</article>

1183
docs/three-interface_fr.xml
View File

File diff suppressed because it is too large Load Diff

1154
docs/two-interface_fr.xml
View File

File diff suppressed because it is too large Load Diff