From 84029e5bd4c148aa606330275df21040fb4aa9b7 Mon Sep 17 00:00:00 2001
From: teastep <teastep@fbd18981-670d-0410-9b5c-8dc0c1a9a2bb>
Date: Sat, 8 May 2004 22:31:54 +0000
Subject: [PATCH] Updates for 2.0.2

git-svn-id: https://shorewall.svn.sourceforge.net/svnroot/shorewall/trunk@1317 fbd18981-670d-0410-9b5c-8dc0c1a9a2bb
---
 Shorewall-docs2/Accounting.xml                |   15 +-
 Shorewall-docs2/Documentation.xml             | 1182 ++++--
 Shorewall-docs2/Documentation_Index.xml       |    4 +-
 Shorewall-docs2/FAQ.xml                       |  967 +++--
 Shorewall-docs2/FTP.xml                       |   25 +-
 Shorewall-docs2/IPSEC.xml                     |  265 +-
 Shorewall-docs2/Install.xml                   |  126 +-
 Shorewall-docs2/PPTP.xml                      |   24 +-
 Shorewall-docs2/Shorewall_Squid_Usage.xml     |    6 +-
 Shorewall-docs2/bridge.xml                    |    6 +-
 Shorewall-docs2/configuration_file_basics.xml |   21 +-
 Shorewall-docs2/errata.xml                    |  353 +-
 Shorewall-docs2/images/State_Diagram.png      |  Bin 26272 -> 28375 bytes
 Shorewall-docs2/images/State_Diagram.vdx      |  619 +--
 Shorewall-docs2/images/staticnat.png          |  Bin 6422 -> 8036 bytes
 Shorewall-docs2/images/staticnat.vdx          |  598 ++-
 Shorewall-docs2/myfiles.xml                   |  122 +-
 Shorewall-docs2/ports.xml                     |   25 +-
 .../shorewall_extension_scripts.xml           |  112 +-
 Shorewall-docs2/shorewall_features.xml        |   50 +-
 Shorewall-docs2/shorewall_logging.xml         |    6 +-
 .../shorewall_quickstart_guide.xml            |   20 +-
 Shorewall-docs2/shorewall_setup_guide_fr.xml  | 3352 ++++++-----------
 Shorewall-docs2/standalone.xml                |   11 +-
 Shorewall-docs2/standalone_fr.xml             |  746 ++--
 .../starting_and_stopping_shorewall.xml       |  272 +-
 Shorewall-docs2/template.xml                  |    4 -
 Shorewall-docs2/three-interface.xml           |   11 +-
 Shorewall-docs2/three-interface_fr.xml        | 2012 ++++------
 Shorewall-docs2/two-interface.xml             |   12 +-
 Shorewall-docs2/two-interface_fr.xml          | 1807 +++++----
 Shorewall-docs2/upgrade_issues.xml            |  654 ++--
 32 files changed, 6910 insertions(+), 6517 deletions(-)

diff --git a/Shorewall-docs2/Accounting.xml b/Shorewall-docs2/Accounting.xml
index c923f77ac..fa3695ce4 100644
--- a/Shorewall-docs2/Accounting.xml
+++ b/Shorewall-docs2/Accounting.xml
@@ -15,7 +15,7 @@
       </author>
     </authorgroup>
 
-    <pubdate>2004-01-05</pubdate>
+    <pubdate>2004-04-19</pubdate>
 
     <copyright>
       <year>2003-2004</year>
@@ -193,9 +193,13 @@
      [root@gateway shorewall]#</programlisting>
 
   <para>Here&#39;s how the same example would be constructed on an HTTP server
-  (READ THAT FOLKS -- IT SAYS <emphasis role="underline">SERVER</emphasis>. If
-  you want to account for web browsing, you have to reverse the rules below)
-  with only one interface (eth0):</para>
+  with only one interface (eth0).</para>
+
+  <caution>
+    <para>READ THE ABOVE CAREFULLY -- IT SAYS <emphasis role="bold">SERVER</emphasis>.
+    If you want to account for web browsing, you have to reverse the rules
+    below.</para>
+  </caution>
 
   <programlisting>        #ACTION         CHAIN   SOURCE  DESTINATION     PROTOCOL        DEST            SOURCE
         #                                                               PORT            PORT
@@ -228,4 +232,7 @@
       8767  727K            all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
      11506   13M            all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
      [root@mail shorewall]#</programlisting>
+
+  <para>For an example of integrating Shorewall Accounting with MRTG, see
+  <ulink url="http://www.nightbrawler.com/code/shorewall-stats/">http://www.nightbrawler.com/code/shorewall-stats/</ulink>.</para>
 </article>
\ No newline at end of file
diff --git a/Shorewall-docs2/Documentation.xml b/Shorewall-docs2/Documentation.xml
index 4c3b98d96..e1c9823e8 100644
--- a/Shorewall-docs2/Documentation.xml
+++ b/Shorewall-docs2/Documentation.xml
@@ -15,7 +15,7 @@
       </author>
     </authorgroup>
 
-    <pubdate>2004-03-28</pubdate>
+    <pubdate>2004-05-06</pubdate>
 
     <copyright>
       <year>2001-2004</year>
@@ -29,7 +29,8 @@
       1.2 or any later version published by the Free Software Foundation; with
       no Invariant Sections, with no Front-Cover, and with no Back-Cover
       Texts. A copy of the license is included in the section entitled
-      <quote><ulink url="GnuCopyright.htm">GNU Free Documentation License</ulink></quote>.</para>
+      <quote><ulink url="GnuCopyright.htm">GNU Free Documentation
+      License</ulink></quote>.</para>
     </legalnotice>
 
     <abstract>
@@ -50,9 +51,10 @@
         <term><link linkend="Variables">params</link></term>
 
         <listitem>
-          <para>a parameter file installed in <filename class="directory">/etc/shorewall</filename>
-          that can be used to establish the values of shell variables for use
-          in other files.</para>
+          <para>a parameter file installed in <filename
+          class="directory">/etc/shorewall</filename> that can be used to
+          establish the values of shell variables for use in other
+          files.</para>
         </listitem>
       </varlistentry>
 
@@ -60,8 +62,9 @@
         <term><link linkend="Conf">shorewall.conf</link></term>
 
         <listitem>
-          <para>a parameter file installed in <filename class="directory">/etc/shorewall</filename>
-          that is used to set several firewall parameters.</para>
+          <para>a parameter file installed in <filename
+          class="directory">/etc/shorewall</filename> that is used to set
+          several firewall parameters.</para>
         </listitem>
       </varlistentry>
 
@@ -69,8 +72,9 @@
         <term><link linkend="Zones">zones</link></term>
 
         <listitem>
-          <para>a parameter file installed in <filename class="directory">/etc/shorewall</filename>
-          that defines a network partitioning into <quote>zones</quote></para>
+          <para>a parameter file installed in <filename
+          class="directory">/etc/shorewall</filename> that defines a network
+          partitioning into <quote>zones</quote></para>
         </listitem>
       </varlistentry>
 
@@ -78,8 +82,9 @@
         <term><link linkend="Policy">policy</link></term>
 
         <listitem>
-          <para>a parameter file installed in <filename class="directory">/etc/shorewall</filename>
-          that establishes overall firewall policy.</para>
+          <para>a parameter file installed in <filename
+          class="directory">/etc/shorewall</filename> that establishes overall
+          firewall policy.</para>
         </listitem>
       </varlistentry>
 
@@ -87,9 +92,10 @@
         <term><link linkend="Rules">rules</link></term>
 
         <listitem>
-          <para>a parameter file installed in <filename class="directory">/etc/shorewall</filename>
-          and used to express firewall rules that are exceptions to the
-          high-level policies established in /etc/shorewall/policy.</para>
+          <para>a parameter file installed in <filename
+          class="directory">/etc/shorewall</filename> and used to express
+          firewall rules that are exceptions to the high-level policies
+          established in /etc/shorewall/policy.</para>
         </listitem>
       </varlistentry>
 
@@ -97,8 +103,9 @@
         <term><link linkend="Blacklist">blacklist</link></term>
 
         <listitem>
-          <para>a parameter file installed in <filename class="directory">/etc/shorewall</filename>
-          and used to list blacklisted IP/subnet/MAC addresses.</para>
+          <para>a parameter file installed in <filename
+          class="directory">/etc/shorewall</filename> and used to list
+          blacklisted IP/subnet/MAC addresses.</para>
         </listitem>
       </varlistentry>
 
@@ -106,9 +113,9 @@
         <term><link linkend="ECN">ecn</link></term>
 
         <listitem>
-          <para>a parameter file installed in <filename class="directory">/etc/shorewall</filename>
-          and used to selectively disable Explicit Congestion Notification
-          (ECN - RFC 3168).</para>
+          <para>a parameter file installed in <filename
+          class="directory">/etc/shorewall</filename> and used to selectively
+          disable Explicit Congestion Notification (ECN - RFC 3168).</para>
         </listitem>
       </varlistentry>
 
@@ -117,7 +124,8 @@
 
         <listitem>
           <para>a set of shell functions used by both the firewall and
-          shorewall shell programs. Installed in <filename class="directory">/usr/share/shorewall</filename>.</para>
+          shorewall shell programs. Installed in <filename
+          class="directory">/usr/share/shorewall</filename>.</para>
         </listitem>
       </varlistentry>
 
@@ -125,9 +133,10 @@
         <term><link linkend="modules">modules</link></term>
 
         <listitem>
-          <para>a parameter file installed in <filename class="directory">/etc/shorewall</filename>
-          and that specifies kernel modules and their parameters. Shorewall
-          will automatically load the modules specified in this file.</para>
+          <para>a parameter file installed in <filename
+          class="directory">/etc/shorewall</filename> and that specifies
+          kernel modules and their parameters. Shorewall will automatically
+          load the modules specified in this file.</para>
         </listitem>
       </varlistentry>
 
@@ -135,9 +144,9 @@
         <term><link linkend="TOS">tos</link></term>
 
         <listitem>
-          <para>a parameter file installed in <filename class="directory">/etc/shorewall</filename>
-          that is used to specify how the Type of Service (TOS) field in
-          packets is to be set.</para>
+          <para>a parameter file installed in <filename
+          class="directory">/etc/shorewall</filename> that is used to specify
+          how the Type of Service (TOS) field in packets is to be set.</para>
         </listitem>
       </varlistentry>
 
@@ -145,10 +154,10 @@
         <term>init.sh and init.debian.sh</term>
 
         <listitem>
-          <para>a shell script installed in <filename class="directory">/etc/init.d
-          </filename>to automatically start Shorewall during boot. The
-          particular script installed depends on which distribution you are
-          running.</para>
+          <para>a shell script installed in <filename
+          class="directory">/etc/init.d </filename>to automatically start
+          Shorewall during boot. The particular script installed depends on
+          which distribution you are running.</para>
         </listitem>
       </varlistentry>
 
@@ -156,8 +165,9 @@
         <term><link linkend="Interfaces">interfaces</link></term>
 
         <listitem>
-          <para>a parameter file installed in <filename class="directory">/etc/shorewall</filename>
-          and used to describe the interfaces on the firewall system.</para>
+          <para>a parameter file installed in <filename
+          class="directory">/etc/shorewall</filename> and used to describe the
+          interfaces on the firewall system.</para>
         </listitem>
       </varlistentry>
 
@@ -165,8 +175,9 @@
         <term><link linkend="Hosts">hosts</link></term>
 
         <listitem>
-          <para>a parameter file installed in <filename class="directory">/etc/shorewall</filename>
-          and used to describe individual hosts or subnetworks in zones.</para>
+          <para>a parameter file installed in <filename
+          class="directory">/etc/shorewall</filename> and used to describe
+          individual hosts or subnetworks in zones.</para>
         </listitem>
       </varlistentry>
 
@@ -174,9 +185,10 @@
         <term><link linkend="Maclist">maclist</link></term>
 
         <listitem>
-          <para>a parameter file installed in <filename class="directory">/etc/shorewall</filename>
-          and used to verify the MAC address (and possibly also the IP
-          address(es)) of devices.</para>
+          <para>a parameter file installed in <filename
+          class="directory">/etc/shorewall</filename> and used to verify the
+          MAC address (and possibly also the IP address(es)) of
+          devices.</para>
         </listitem>
       </varlistentry>
 
@@ -185,7 +197,8 @@
 
         <listitem>
           <para>This file also describes IP masquerading under Shorewall and
-          is installed in <filename class="directory">/etc/shorewall</filename>.</para>
+          is installed in <filename
+          class="directory">/etc/shorewall</filename>.</para>
         </listitem>
       </varlistentry>
 
@@ -195,7 +208,8 @@
         <listitem>
           <para>a shell program that reads the configuration files in
           <filename class="directory">/etc/shorewall</filename> and configures
-          your firewall. This file is installed in <filename class="directory">/usr/share/shorewall</filename>.</para>
+          your firewall. This file is installed in <filename
+          class="directory">/usr/share/shorewall</filename>.</para>
         </listitem>
       </varlistentry>
 
@@ -203,8 +217,9 @@
         <term><link linkend="NAT">nat</link></term>
 
         <listitem>
-          <para>a parameter file in <filename class="directory">/etc/shorewall</filename>
-          used to define <link linkend="NAT">one-to-one NAT</link>.</para>
+          <para>a parameter file in <filename
+          class="directory">/etc/shorewall</filename> used to define <link
+          linkend="NAT">one-to-one NAT</link>.</para>
         </listitem>
       </varlistentry>
 
@@ -212,8 +227,9 @@
         <term><link linkend="ProxyArp">proxyarp</link></term>
 
         <listitem>
-          <para>a parameter file in <filename class="directory">/etc/shorewall</filename>
-          used to define <link linkend="ProxyArp">Proxy Arp</link>.</para>
+          <para>a parameter file in <filename
+          class="directory">/etc/shorewall</filename> used to define <link
+          linkend="ProxyArp">Proxy Arp</link>.</para>
         </listitem>
       </varlistentry>
 
@@ -221,9 +237,10 @@
         <term><link linkend="rfc1918">rfc1918</link></term>
 
         <listitem>
-          <para>a parameter file in <filename class="directory">/usr/share/shorewall</filename>
-          used to define the treatment of packets under the <link
-          linkend="Interfaces">norfc1918 interface option</link>.</para>
+          <para>a parameter file in <filename
+          class="directory">/usr/share/shorewall</filename> used to define the
+          treatment of packets under the <link linkend="Interfaces">norfc1918
+          interface option</link>.</para>
         </listitem>
       </varlistentry>
 
@@ -231,9 +248,10 @@
         <term><link linkend="Bogons">bogons</link></term>
 
         <listitem>
-          <para>a parameter file in <filename class="directory">/usr/share/shorewall</filename>
-          used to define the treatment of packets under the <link
-          linkend="Interfaces">nobogons interface option</link>.</para>
+          <para>a parameter file in <filename
+          class="directory">/usr/share/shorewall</filename> used to define the
+          treatment of packets under the <link linkend="Interfaces">nobogons
+          interface option</link>.</para>
         </listitem>
       </varlistentry>
 
@@ -241,9 +259,9 @@
         <term><link linkend="Routestopped">routestopped</link></term>
 
         <listitem>
-          <para>a parameter file in <filename class="directory">/etc/shorewall</filename>
-          used to define those hosts that can access the firewall when
-          Shorewall is stopped.</para>
+          <para>a parameter file in <filename
+          class="directory">/etc/shorewall</filename> used to define those
+          hosts that can access the firewall when Shorewall is stopped.</para>
         </listitem>
       </varlistentry>
 
@@ -261,8 +279,9 @@
         <term><link linkend="Tunnels">tunnels</link></term>
 
         <listitem>
-          <para>a parameter file in <filename class="directory">/etc/shorewall</filename>
-          used to define IPSec tunnels.</para>
+          <para>a parameter file in <filename
+          class="directory">/etc/shorewall</filename> used to define IPSec
+          tunnels.</para>
         </listitem>
       </varlistentry>
 
@@ -274,7 +293,8 @@
           to control and monitor the firewall. This should be placed in
           <filename class="directory">/sbin</filename> or in <filename
           class="directory">/usr/sbin</filename> (the install.sh script and
-          the rpm install this file in <filename class="directory">/sbin</filename>).</para>
+          the rpm install this file in <filename
+          class="directory">/sbin</filename>).</para>
         </listitem>
       </varlistentry>
 
@@ -282,9 +302,9 @@
         <term><ulink url="Accounting.html">accounting</ulink></term>
 
         <listitem>
-          <para>a parameter file in <filename class="directory">/etc/shorewall</filename>
-          used to define traffic accounting rules. This file was added in
-          version 1.4.7.</para>
+          <para>a parameter file in <filename
+          class="directory">/etc/shorewall</filename> used to define traffic
+          accounting rules. This file was added in version 1.4.7.</para>
         </listitem>
       </varlistentry>
 
@@ -292,8 +312,9 @@
         <term>version</term>
 
         <listitem>
-          <para>a file created in <filename class="directory">/usr/share/shorewall</filename>
-          that describes the version of Shorewall installed on your system.</para>
+          <para>a file created in <filename
+          class="directory">/usr/share/shorewall</filename> that describes the
+          version of Shorewall installed on your system.</para>
         </listitem>
       </varlistentry>
 
@@ -305,7 +326,8 @@
           <para>files in <filename class="directory">/etc/shorewall</filename>
           and <filename class="directory">/usr/share/shorewall</filename>
           respectively that allow you to define your own actions for rules in
-          <filename><link linkend="Rules">/etc/shorewall/rules</link></filename>.</para>
+          <filename><link
+          linkend="Rules">/etc/shorewall/rules</link></filename>.</para>
         </listitem>
       </varlistentry>
 
@@ -313,8 +335,9 @@
         <term>actions.std and action.*</term>
 
         <listitem>
-          <para>files in <filename class="directory">/usr/share/shorewall</filename>
-          that define the actions included as a standard part of Shorewall.</para>
+          <para>files in <filename
+          class="directory">/usr/share/shorewall</filename> that define the
+          actions included as a standard part of Shorewall.</para>
         </listitem>
       </varlistentry>
     </variablelist>
@@ -348,7 +371,8 @@ NET_OPTIONS=blacklist,norfc1918</programlisting>
 
     <programlisting>net eth0 130.252.100.255 blacklist,norfc1918</programlisting>
 
-    <para>Variables may be used anywhere in the other configuration files.</para>
+    <para>Variables may be used anywhere in the other configuration
+    files.</para>
   </section>
 
   <section id="Zones" xreflabel="/etc/shorewall/zones">
@@ -380,7 +404,8 @@ NET_OPTIONS=blacklist,norfc1918</programlisting>
         <term>DISPLAY</term>
 
         <listitem>
-          <para>The name of the zone as displayed during Shorewall startup.</para>
+          <para>The name of the zone as displayed during Shorewall
+          startup.</para>
         </listitem>
       </varlistentry>
 
@@ -399,25 +424,28 @@ net        Net            Internet
 loc        Local          Local networks
 dmz        DMZ            Demilitarized zone</programlisting>
 
-    <para>You may add, delete and modify entries in the <filename>/etc/shorewall/zones</filename>
-    file as desired so long as you have at least one zone defined.</para>
+    <para>You may add, delete and modify entries in the
+    <filename>/etc/shorewall/zones</filename> file as desired so long as you
+    have at least one zone defined.</para>
 
     <warning>
-      <para>If you rename or delete a zone, you should perform <quote><command>shorewall
-      stop; shorewall start</command></quote> to install the change rather
-      than <quote><command>shorewall restart</command></quote>.</para>
+      <para>If you rename or delete a zone, you should perform
+      <quote><command>shorewall stop; shorewall start</command></quote> to
+      install the change rather than <quote><command>shorewall
+      restart</command></quote>.</para>
     </warning>
 
     <warning>
-      <para>The order of entries in the <filename>/etc/shorewall/zones</filename>
-      file is significant <link linkend="Nested">in some cases</link>.</para>
+      <para>The order of entries in the
+      <filename>/etc/shorewall/zones</filename> file is significant <link
+      linkend="Nested">in some cases</link>.</para>
     </warning>
   </section>
 
   <section id="Interfaces" xreflabel="/etc/shorewall/interfaces">
     <title>/etc/shorewall/interfaces</title>
 
-    <para>This file is used to tell the firewall which of your firewall&#39;s
+    <para>This file is used to tell the firewall which of your firewall's
     network interfaces are connected to which zone. There will be one entry in
     /etc/shorewall/interfaces for each of your interfaces. Columns in an entry
     are:</para>
@@ -462,12 +490,14 @@ dmz        DMZ            Demilitarized zone</programlisting>
 
           <itemizedlist>
             <listitem>
-              <para>the interface must be up before you start your firewall</para>
+              <para>the interface must be up before you start your
+              firewall</para>
             </listitem>
 
             <listitem>
               <para>the interface must only be attached to a single
-              sub-network (i.e., there must have a single broadcast address).</para>
+              sub-network (i.e., there must have a single broadcast
+              address).</para>
             </listitem>
           </itemizedlist>
         </listitem>
@@ -477,7 +507,8 @@ dmz        DMZ            Demilitarized zone</programlisting>
         <term>OPTIONS</term>
 
         <listitem>
-          <para>a comma-separated list of options. Possible options include:</para>
+          <para>a comma-separated list of options. Possible options
+          include:</para>
 
           <variablelist>
             <varlistentry>
@@ -485,7 +516,7 @@ dmz        DMZ            Demilitarized zone</programlisting>
 
               <listitem>
                 <para>(Added in version 1.4.7) - This option causes
-                <filename>/proc/sys/net/ipv4/conf/&#60;interface&#62;/arp_filter</filename>
+                <filename>/proc/sys/net/ipv4/conf/&lt;interface&gt;/arp_filter</filename>
                 to be set with the result that this interface will only answer
                 ARP <quote>who-has</quote> requests from hosts that are routed
                 out of that interface. Setting this option facilitates testing
@@ -516,7 +547,8 @@ dmz        DMZ            Demilitarized zone</programlisting>
                 <para>(Added in version 1.4.2) - This option causes Shorewall
                 to set up handling for routing packets that arrive on this
                 interface back out the same interface. If this option is
-                specified, the ZONE column may not contain <quote>-</quote>.</para>
+                specified, the ZONE column may not contain
+                <quote>-</quote>.</para>
               </listitem>
             </varlistentry>
 
@@ -531,7 +563,8 @@ dmz        DMZ            Demilitarized zone</programlisting>
                 typically used for <quote>silent</quote> port scans. Packets
                 failing these checks are logged according to the
                 TCP_FLAGS_LOG_LEVEL option in <xref linkend="Conf" /> and are
-                disposed of according to the TCP_FLAGS_DISPOSITION option.</para>
+                disposed of according to the TCP_FLAGS_DISPOSITION
+                option.</para>
               </listitem>
             </varlistentry>
 
@@ -540,7 +573,8 @@ dmz        DMZ            Demilitarized zone</programlisting>
 
               <listitem>
                 <para>This option causes incoming packets on this interface to
-                be checked against the <link linkend="Blacklist">blacklist</link>.</para>
+                be checked against the <link
+                linkend="Blacklist">blacklist</link>.</para>
               </listitem>
             </varlistentry>
 
@@ -579,10 +613,10 @@ dmz        DMZ            Demilitarized zone</programlisting>
                 within their own infrastructure. Also, many cable and DSL
                 <quote>modems</quote> have an RFC 1918 address that can be
                 used through a web browser for management and monitoring
-                functions. If you want to specify <emphasis role="bold">norfc1918</emphasis>
-                on your external interface but need to allow access to certain
-                addresses from the above list, see <ulink url="FAQ.htm#faq14">FAQ
-                14</ulink>.</para>
+                functions. If you want to specify <emphasis
+                role="bold">norfc1918</emphasis> on your external interface
+                but need to allow access to certain addresses from the above
+                list, see <ulink url="FAQ.htm#faq14">FAQ 14</ulink>.</para>
               </listitem>
             </varlistentry>
 
@@ -601,7 +635,7 @@ dmz        DMZ            Demilitarized zone</programlisting>
               <term>routefilter</term>
 
               <listitem>
-                <para>Invoke the Kernel&#39;s route filtering (anti-spoofing)
+                <para>Invoke the Kernel's route filtering (anti-spoofing)
                 facility on this interface. The kernel will reject any packets
                 incoming on this interface that have a source address that
                 would be routed outbound through another interface on the
@@ -619,7 +653,8 @@ dmz        DMZ            Demilitarized zone</programlisting>
 
               <listitem>
                 <para>(Added in version 1.3.5) - This option causes Shorewall
-                to set /proc/sys/net/ipv4/conf/&#60;<emphasis>interface</emphasis>&#62;/proxy_arp
+                to set
+                /proc/sys/net/ipv4/conf/&lt;<emphasis>interface</emphasis>&gt;/proxy_arp
                 and is used when implementing Proxy ARP Sub-netting as
                 described at <ulink
                 url="http://www.tldp.org/HOWTO/mini/Proxy-ARP-Subnet/">http://www.tldp.org/HOWTO/mini/Proxy-ARP-Subnet/</ulink>.
@@ -664,7 +699,8 @@ dmz        DMZ            Demilitarized zone</programlisting>
                 they do not have a broadcast or multicast address as their
                 source. Any such packets will be dropped after being
                 optionally logged according to the setting of SMURF_LOG_LEVEL
-                in <link linkend="Conf">/etc/shorewall/shorewall.conf</link>.</para>
+                in <link
+                linkend="Conf">/etc/shorewall/shorewall.conf</link>.</para>
               </listitem>
             </varlistentry>
           </variablelist>
@@ -673,11 +709,13 @@ dmz        DMZ            Demilitarized zone</programlisting>
 
           <itemizedlist>
             <listitem>
-              <para>External Interface -- <emphasis role="bold">tcpflags,blacklist,norfc1918,routefilter,nosmurfs</emphasis></para>
+              <para>External Interface -- <emphasis
+              role="bold">tcpflags,blacklist,norfc1918,routefilter,nosmurfs</emphasis></para>
             </listitem>
 
             <listitem>
-              <para>Wireless Interface -- <emphasis role="bold">maclist,routefilter,tcpflags,detectnets,nosmurfs</emphasis></para>
+              <para>Wireless Interface -- <emphasis
+              role="bold">maclist,routefilter,tcpflags,detectnets,nosmurfs</emphasis></para>
             </listitem>
 
             <listitem>
@@ -693,8 +731,9 @@ dmz        DMZ            Demilitarized zone</programlisting>
       <title>You have a conventional firewall setup in which eth0 connects to
       a Cable or DSL modem and eth1 connects to your local network and eth0
       gets its IP address via DHCP. You want to check all packets entering
-      from the internet against the <link linkend="Blacklist">black list</link>.
-      Your /etc/shorewall/interfaces file would be as follows:</title>
+      from the internet against the <link linkend="Blacklist">black
+      list</link>. Your /etc/shorewall/interfaces file would be as
+      follows:</title>
 
       <programlisting>#ZONE    INTERFACE    BROADCAST    OPTIONS
 net      eth0         detect       dhcp,norfc1918,blacklist</programlisting>
@@ -726,12 +765,13 @@ loc      eth1         192.168.1.255,192.168.12.255</programlisting>
     purpose of the <filename>/etc/shorewall/hosts</filename> file.</para>
 
     <warning>
-      <para>The only time that you need entries in <filename>/etc/shorewall/hosts</filename>
-      is where you have <ulink url="Multiple_Zones.html">more than one zone
-      connecting through a single interface</ulink>.</para>
+      <para>The only time that you need entries in
+      <filename>/etc/shorewall/hosts</filename> is where you have <ulink
+      url="Multiple_Zones.html">more than one zone connecting through a single
+      interface</ulink>.</para>
 
-      <para><emphasis role="bold">IF YOU DON&#39;T HAVE THIS SITUATION THEN
-      DON&#39;T TOUCH THIS FILE!!</emphasis></para>
+      <para><emphasis role="bold">IF YOU DON'T HAVE THIS SITUATION THEN DON'T
+      TOUCH THIS FILE!!</emphasis></para>
     </warning>
 
     <para>Columns in this file are:</para>
@@ -751,8 +791,8 @@ loc      eth1         192.168.1.255,192.168.12.255</programlisting>
         <listitem>
           <para>The name of an interface defined in the <link
           linkend="Interfaces">/etc/shorewall/interfaces</link> file followed
-          by a colon (&#34;:&#34;) and a comma-separated list whose elements
-          are either:</para>
+          by a colon (":") and a comma-separated list whose elements are
+          either:</para>
 
           <orderedlist>
             <listitem>
@@ -760,8 +800,9 @@ loc      eth1         192.168.1.255,192.168.12.255</programlisting>
             </listitem>
 
             <listitem>
-              <para>A subnetwork in the form &#60;<emphasis>subnet-address</emphasis>&#62;/&#60;<emphasis>mask
-              width</emphasis>&#62;</para>
+              <para>A subnetwork in the form
+              &lt;<emphasis>subnet-address</emphasis>&gt;/&lt;<emphasis>mask
+              width</emphasis>&gt;</para>
             </listitem>
 
             <listitem>
@@ -769,8 +810,8 @@ loc      eth1         192.168.1.255,192.168.12.255</programlisting>
               only allowed when the interface names a bridge created by the
               <command>brctl addbr </command>command. This port must not be
               defined in <filename>/etc/shorewall/interfaces</filename> and
-              may optionally followed by a colon (&#34;:&#34;) and a host or
-              network IP. See the <ulink url="bridge.html">bridging
+              may optionally followed by a colon (":") and a host or network
+              IP. See the <ulink url="bridge.html">bridging
               documentation</ulink> for details.</para>
             </listitem>
           </orderedlist>
@@ -832,7 +873,8 @@ loc      eth1         192.168.1.255,192.168.12.255</programlisting>
 
               <listitem>
                 <para>This option causes incoming packets on this port to be
-                checked against the <link linkend="Blacklist">blacklist</link>.</para>
+                checked against the <link
+                linkend="Blacklist">blacklist</link>.</para>
               </listitem>
             </varlistentry>
 
@@ -878,12 +920,12 @@ loc      eth1         192.168.1.255,192.168.12.255</programlisting>
       </varlistentry>
     </variablelist>
 
-    <para>If you don&#39;t define any hosts for a zone, the hosts in the zone
+    <para>If you don't define any hosts for a zone, the hosts in the zone
     default to i0:0.0.0.0/0 , i1:0.0.0.0/0, ... where i0, i1, ... are the
     interfaces to the zone.</para>
 
     <note>
-      <para>You probably DON&#39;T want to specify any hosts for your internet
+      <para>You probably DON'T want to specify any hosts for your internet
       zone since the hosts that you specify will be the only ones that you
       will be able to access without adding additional rules.</para>
     </note>
@@ -960,10 +1002,10 @@ loc         eth1:192.168.1.0/24,192.168.12.0/24</programlisting>
     Policies defined in <filename>/etc/shorewall/policy </filename>describe
     which zones are allowed to establish connections with other zones.</para>
 
-    <para>Policies established in <filename>/etc/shorewall/policy </filename>can
-    be viewed as default policies. If no rule in /etc/shorewall/rules applies
-    to a particular connection request then the policy from
-    <filename>/etc/shorewall/policy</filename> is applied.</para>
+    <para>Policies established in <filename>/etc/shorewall/policy
+    </filename>can be viewed as default policies. If no rule in
+    /etc/shorewall/rules applies to a particular connection request then the
+    policy from <filename>/etc/shorewall/policy</filename> is applied.</para>
 
     <para>Five policies are defined:</para>
 
@@ -989,7 +1031,8 @@ loc         eth1:192.168.1.0/24,192.168.12.0/24</programlisting>
 
         <listitem>
           <para>The connection request is rejected with an RST (TCP) or an
-          ICMP destination-unreachable packet being returned to the client.</para>
+          ICMP destination-unreachable packet being returned to the
+          client.</para>
         </listitem>
       </varlistentry>
 
@@ -1021,7 +1064,8 @@ loc         eth1:192.168.1.0/24,192.168.12.0/24</programlisting>
     that you want a message sent to your system log each time that the policy
     is applied.</para>
 
-    <para>Entries in /etc/shorewall/policy have four columns as follows:</para>
+    <para>Entries in /etc/shorewall/policy have four columns as
+    follows:</para>
 
     <variablelist>
       <varlistentry>
@@ -1072,16 +1116,18 @@ loc         eth1:192.168.1.0/24,192.168.12.0/24</programlisting>
 
         <listitem>
           <para>If left empty, TCP connection requests from the <emphasis
-          role="bold">SOURCE</emphasis> zone to the <emphasis role="bold">DEST</emphasis>
-          zone will not be rate-limited. Otherwise, this column specifies the
-          maximum rate at which TCP connection requests will be accepted
-          followed by a colon (<quote>:</quote>) followed by the maximum burst
-          size that will be tolerated. Example: <emphasis role="bold">10/sec:40</emphasis>
+          role="bold">SOURCE</emphasis> zone to the <emphasis
+          role="bold">DEST</emphasis> zone will not be rate-limited.
+          Otherwise, this column specifies the maximum rate at which TCP
+          connection requests will be accepted followed by a colon
+          (<quote>:</quote>) followed by the maximum burst size that will be
+          tolerated. Example: <emphasis role="bold">10/sec:40</emphasis>
           specifies that the maximum rate of TCP connection requests allowed
           will be 10 per second and a burst of 40 connections will be
           tolerated. Connection requests in excess of these limits will be
-          dropped. See the <link linkend="Rules">rules file documentation</link>
-          for an explaination of how rate limiting works.</para>
+          dropped. See the <link linkend="Rules">rules file
+          documentation</link> for an explaination of how rate limiting
+          works.</para>
         </listitem>
       </varlistentry>
     </variablelist>
@@ -1116,12 +1162,12 @@ all        all       REJECT    info</programlisting>
     </itemizedlist>
 
     <warning>
-      <para>The firewall script processes the <filename>/etc/shorewall/policy</filename>
-      file from top to bottom and <emphasis role="bold">uses the first
-      applicable policy that it finds</emphasis>. For example, in the
-      following policy file, the policy for (loc, loc) connections would be
-      ACCEPT as specified in the first entry even though the third entry in
-      the file specifies REJECT.</para>
+      <para>The firewall script processes the
+      <filename>/etc/shorewall/policy</filename> file from top to bottom and
+      <emphasis role="bold">uses the first applicable policy that it
+      finds</emphasis>. For example, in the following policy file, the policy
+      for (loc, loc) connections would be ACCEPT as specified in the first
+      entry even though the third entry in the file specifies REJECT.</para>
 
       <programlisting>#SOURCE    DEST      POLICY    LOG LEVEL    LIMIT:BURST
 loc        all       ACCEPT
@@ -1140,7 +1186,8 @@ loc        loc       REJECT    info</programlisting>
       specify <quote>all</quote> in either the SOURCE or DEST column) and that
       there are no rules concerning connections from that zone to itself. If
       there is an explicit policy or if there are one or more rules, then
-      traffic within the zone is handled just like traffic between zones is.</para>
+      traffic within the zone is handled just like traffic between zones
+      is.</para>
 
       <para>Any time that you have multiple interfaces associated with a
       single zone, you should ask yourself if you really want traffic routed
@@ -1150,22 +1197,22 @@ loc        loc       REJECT    info</programlisting>
       <orderedlist>
         <listitem>
           <para>Multiple <quote>net</quote> interfaces to different ISPs. You
-          don&#39;t want to route traffic from one ISP to the other through
-          your firewall.</para>
+          don't want to route traffic from one ISP to the other through your
+          firewall.</para>
         </listitem>
 
         <listitem>
-          <para>Multiple VPN clients. You don&#39;t necessarily want them to
-          all be able to communicate between themselves using your
+          <para>Multiple VPN clients. You don't necessarily want them to all
+          be able to communicate between themselves using your
           gateway/router.</para>
         </listitem>
       </orderedlist>
 
       <para>Beginning with Shorewall 2.0.0, you can control the traffic from
-      the firewall to itself. As with any zone, fw-&#62;fw traffic is enabled
+      the firewall to itself. As with any zone, fw-&gt;fw traffic is enabled
       by default. It is not necessary to define the loopback interface (lo) in
       <link linkend="Interfaces">/etc/shorewall/interfaces</link> in order to
-      define fw-&#62;fw rules or a fw-&#62;fw policy.</para>
+      define fw-&gt;fw rules or a fw-&gt;fw policy.</para>
 
       <caution>
         <para>So long as there are no intra-zone rules for a zone, all
@@ -1180,15 +1227,15 @@ loc        loc       REJECT    info</programlisting>
     <section id="CONTINUE">
       <title>The CONTINUE policy</title>
 
-      <para>Where zones are <link linkend="Nested">nested or overlapping</link>,
-      the CONTINUE policy allows hosts that are within multiple zones to be
-      managed under the rules of all of these zones. Let&#39;s look at an
-      example:</para>
+      <para>Where zones are <link linkend="Nested">nested or
+      overlapping</link>, the CONTINUE policy allows hosts that are within
+      multiple zones to be managed under the rules of all of these zones.
+      Let's look at an example:</para>
 
       <para><filename>/etc/shorewall/zones</filename>:</para>
 
       <programlisting>#ZONE    DISPLAY     COMMENTS
-sam      Sam         Sam&#39;s system at home
+sam      Sam         Sam's system at home
 net      Internet    The Internet
 loc      Local       Local Network</programlisting>
 
@@ -1205,11 +1252,13 @@ net       eth0:0.0.0.0/0
 sam       eth0:206.191.149.197</programlisting>
 
       <note>
-        <para>Sam&#39;s home system is a member of both the <emphasis
-        role="bold">sam</emphasis> zone and the <emphasis role="bold">net</emphasis>
-        zone and <link linkend="Nested">as described above</link> , that means
-        that <emphasis role="bold">sam</emphasis> must be listed before
-        <emphasis role="bold">net</emphasis> in <filename>/etc/shorewall/zones</filename>.</para>
+        <para>Sam's home system is a member of both the <emphasis
+        role="bold">sam</emphasis> zone and the <emphasis
+        role="bold">net</emphasis> zone and <link linkend="Nested">as
+        described above</link> , that means that <emphasis
+        role="bold">sam</emphasis> must be listed before <emphasis
+        role="bold">net</emphasis> in
+        <filename>/etc/shorewall/zones</filename>.</para>
       </note>
 
       <para><filename>/etc/shorewall/policy</filename>:</para>
@@ -1225,8 +1274,9 @@ all          all         REJECT       info</programlisting>
       zone is <emphasis role="bold">sam</emphasis> and if there is no match
       then the connection request should be treated under rules where the
       source zone is <emphasis role="bold">net</emphasis>. It is important
-      that this policy be listed BEFORE the next policy (<emphasis role="bold">net</emphasis>
-      to <emphasis role="bold">all</emphasis>).</para>
+      that this policy be listed BEFORE the next policy (<emphasis
+      role="bold">net</emphasis> to <emphasis
+      role="bold">all</emphasis>).</para>
 
       <para>Partial <filename>/etc/shorewall/rules</filename>:</para>
 
@@ -1236,19 +1286,19 @@ DNAT      sam       loc:192.168.1.3 tcp      ssh
 DNAT      net       loc:192.168.1.5 tcp      www
 ...</programlisting>
 
-      <para>Given these two rules, Sam can connect to the firewall&#39;s
-      internet interface with ssh and the connection request will be forwarded
-      to 192.168.1.3. Like all hosts in the <emphasis role="bold">net</emphasis>
-      zone, Sam can connect to the firewall&#39;s internet interface on TCP
-      port 80 and the connection request will be forwarded to 192.168.1.5. The
+      <para>Given these two rules, Sam can connect to the firewall's internet
+      interface with ssh and the connection request will be forwarded to
+      192.168.1.3. Like all hosts in the <emphasis role="bold">net</emphasis>
+      zone, Sam can connect to the firewall's internet interface on TCP port
+      80 and the connection request will be forwarded to 192.168.1.5. The
       order of the rules is not significant.</para>
 
       <para id="Exclude">Sometimes it is necessary to suppress port forwarding
       for a sub-zone. For example, suppose that all hosts can SSH to the
       firewall and be forwarded to 192.168.1.5 EXCEPT Sam. When Sam connects
-      to the firewall&#39;s external IP, he should be connected to the
-      firewall itself. Because of the way that Netfilter is constructed, this
-      requires two rules as follows:</para>
+      to the firewall's external IP, he should be connected to the firewall
+      itself. Because of the way that Netfilter is constructed, this requires
+      two rules as follows:</para>
 
       <programlisting>#ACTION   SOURCE    DEST            PROTO    DEST PORT(S)
 ...
@@ -1270,12 +1320,12 @@ DNAT      net       loc:192.168.1.3 tcp      ssh
     <title>/etc/shorewall/rules</title>
 
     <para>The <filename>/etc/shorewall/rules</filename> file defines
-    exceptions to the policies established in the <filename>/etc/shorewall/policy</filename>
-    file. There is one entry in /etc/shorewall/rules for each of these rules.
-    Entries in this file only govern the establishment of new connections —
-    packets that are part of an existing connection or that establish a
-    connection that is related to an existing connection are automatically
-    accepted.</para>
+    exceptions to the policies established in the
+    <filename>/etc/shorewall/policy</filename> file. There is one entry in
+    /etc/shorewall/rules for each of these rules. Entries in this file only
+    govern the establishment of new connections — packets that are part of an
+    existing connection or that establish a connection that is related to an
+    existing connection are automatically accepted.</para>
 
     <para>Rules for each pair of zones (source zone, destination zone) are
     evaluated in the order that they appear in the file — the first match
@@ -1296,7 +1346,8 @@ DNAT      net       loc:192.168.1.3 tcp      ssh
 
       <listitem>
         <para>CONTINUE rules may cause the connection request to be
-        reprocessed using a different (source zone, destination zone) pair.</para>
+        reprocessed using a different (source zone, destination zone)
+        pair.</para>
       </listitem>
     </itemizedlist>
 
@@ -1317,15 +1368,37 @@ DNAT      net       loc:192.168.1.3 tcp      ssh
               </listitem>
             </varlistentry>
 
+            <varlistentry>
+              <term>ACCEPT+</term>
+
+              <listitem>
+                <para>Added in Shorewall 2.0.2 Beta 2. Works like ACCEPT but
+                also exempts the connection from matching DNAT and REDIRECT
+                rules later in the file.</para>
+              </listitem>
+            </varlistentry>
+
+            <varlistentry>
+              <term>NONAT</term>
+
+              <listitem>
+                <para>Added in Shorewall 2.0.2 Beta 2. Exempts matching
+                connections from DNAT and REDIRECT rules later in the
+                file.</para>
+              </listitem>
+            </varlistentry>
+
             <varlistentry>
               <term>DNAT</term>
 
               <listitem>
                 <para>Causes the connection request to be forwarded to the
                 system specified in the DEST column (port forwarding).
-                <quote>DNAT</quote> stands for <quote><emphasis role="bold">D</emphasis>estination
-                <emphasis role="bold">N</emphasis>etwork <emphasis role="bold">A</emphasis>ddress
-                <emphasis role="bold">T</emphasis>ranslation</quote></para>
+                <quote>DNAT</quote> stands for <quote><emphasis
+                role="bold">D</emphasis>estination <emphasis
+                role="bold">N</emphasis>etwork <emphasis
+                role="bold">A</emphasis>ddress <emphasis
+                role="bold">T</emphasis>ranslation</quote></para>
               </listitem>
             </varlistentry>
 
@@ -1333,7 +1406,8 @@ DNAT      net       loc:192.168.1.3 tcp      ssh
               <term>DNAT-</term>
 
               <listitem>
-                <para>The above ACTION (DNAT) generates two iptables rules:</para>
+                <para>The above ACTION (DNAT) generates two iptables
+                rules:</para>
 
                 <orderedlist>
                   <listitem>
@@ -1342,8 +1416,8 @@ DNAT      net       loc:192.168.1.3 tcp      ssh
                   </listitem>
 
                   <listitem>
-                    <para>an ACCEPT rule in the Netfilter <quote>filter</quote>
-                    table.</para>
+                    <para>an ACCEPT rule in the Netfilter
+                    <quote>filter</quote> table.</para>
                   </listitem>
                 </orderedlist>
 
@@ -1375,8 +1449,8 @@ DNAT      net       loc:192.168.1.3 tcp      ssh
                   </listitem>
 
                   <listitem>
-                    <para>an ACCEPT rule in the Netfilter <quote>filter</quote>
-                    table.</para>
+                    <para>an ACCEPT rule in the Netfilter
+                    <quote>filter</quote> table.</para>
                   </listitem>
                 </orderedlist>
 
@@ -1389,7 +1463,8 @@ DNAT      net       loc:192.168.1.3 tcp      ssh
               <term>LOG</term>
 
               <listitem>
-                <para>Log the packet -- requires a syslog level (see below).</para>
+                <para>Log the packet -- requires a syslog level (see
+                below).</para>
               </listitem>
             </varlistentry>
 
@@ -1404,20 +1479,22 @@ DNAT      net       loc:192.168.1.3 tcp      ssh
 
                 <note>
                   <para>When the protocol specified in the PROTO column is TCP
-                  (<quote>tcp</quote>, <quote>TCP</quote> or <quote>6</quote>),
-                  Shorewall will only pass connection requests (SYN packets)
-                  to user space. This is for compatibility with ftwall.</para>
+                  (<quote>tcp</quote>, <quote>TCP</quote> or
+                  <quote>6</quote>), Shorewall will only pass connection
+                  requests (SYN packets) to user space. This is for
+                  compatibility with ftwall.</para>
                 </note>
               </listitem>
             </varlistentry>
 
             <varlistentry>
-              <term><ulink url="User_defined_Actions.html">&#60;defined
-              action&#62;</ulink></term>
+              <term><ulink url="User_defined_Actions.html">&lt;defined
+              action&gt;</ulink></term>
 
               <listitem>
                 <para>(Shorewall 1.4.9 and later) - An action defined in the
-                <filename><ulink url="User_defined_Actions.html">/etc/shorewall/actions</ulink></filename>
+                <filename><ulink
+                url="User_defined_Actions.html">/etc/shorewall/actions</ulink></filename>
                 file.</para>
               </listitem>
             </varlistentry>
@@ -1428,7 +1505,19 @@ DNAT      net       loc:192.168.1.3 tcp      ssh
           REJECT:info or ACCEPT:debug). This causes the packet to be logged at
           the specified level prior to being processed according to the
           specified ACTION. Note: if the ACTION is LOG then you MUST specify a
-          syslog level.</para>
+          syslog level. Beginning with Shorewall version 2.0.2 Beta 1, a
+          <firstterm>log tag</firstterm> may be specified. A log tag is a
+          string of alphanumeric characters and is specified by following the
+          log level with ":" and the log tag. Example:<programlisting>ACCEPT:info:ftp	net	dmz	tcp	21
+</programlisting>The log tag is appended to the log prefix generated by the
+          LOGPREFIX variable in <filename><link
+          linkend="Conf">/etc/shorewall/conf</link></filename>. If
+          "ACCEPT:info" generates the log prefix "Shorewall:net2dmz:ACCEPT:"
+          then "ACCEPT:info:ftp" will generate "Shorewall:net2dmz:ACCEPT:ftp "
+          (note the trailing blank). The maximum length of a log prefix
+          supported by iptables is 29 characters; if a larger prefix is
+          generated, Shorewall will issue a warning message and will truncate
+          the prefix to 29 characters.</para>
 
           <para>The use of DNAT or REDIRECT requires that you have NAT enabled
           in your <ulink url="kernel.htm">kernel configuration</ulink>.</para>
@@ -1449,7 +1538,8 @@ DNAT      net       loc:192.168.1.3 tcp      ssh
 
           <para>If the source is not <quote>all</quote> then the source may be
           further restricted by adding a colon (<quote>:</quote>) followed by
-          a comma-separated list of qualifiers. Qualifiers are may include:</para>
+          a comma-separated list of qualifiers. Qualifiers are may
+          include:</para>
 
           <variablelist>
             <varlistentry>
@@ -1460,7 +1550,8 @@ DNAT      net       loc:192.168.1.3 tcp      ssh
                 specified interface (example loc:eth4). Beginning with
                 Shorwall 1.3.9, the interface name may optionally be followed
                 by a colon (<quote>:</quote>) and an IP address or subnet
-                (examples: loc:eth4:192.168.4.22, net:eth0:192.0.2.0/24).</para>
+                (examples: loc:eth4:192.168.4.22,
+                net:eth0:192.0.2.0/24).</para>
               </listitem>
             </varlistentry>
 
@@ -1478,7 +1569,8 @@ DNAT      net       loc:192.168.1.3 tcp      ssh
               <term>MAC Address</term>
 
               <listitem>
-                <para>in <ulink url="configuration_file_basics.htm#MAC">Shorewall
+                <para>in <ulink
+                url="configuration_file_basics.htm#MAC">Shorewall
                 format</ulink>.</para>
               </listitem>
             </varlistentry>
@@ -1538,13 +1630,14 @@ DNAT      net       loc:192.168.1.3 tcp      ssh
           </itemizedlist>
 
           <para>Unlike in the SOURCE column, a range of IP addresses may be
-          specified in the DEST column as &#60;<emphasis>first address</emphasis>&#62;-&#60;<emphasis>last
-          address</emphasis>&#62;. When the ACTION is DNAT or DNAT-,
-          connections will be assigned to the addresses in the range in a
-          round-robin fashion (load-balancing). <emphasis role="bold">This
-          feature is available with DNAT rules only with Shorewall 1.4.6 and
-          later versions; it is available with DNAT- rules in all versions
-          that support DNAT-.</emphasis></para>
+          specified in the DEST column as &lt;<emphasis>first
+          address</emphasis>&gt;-&lt;<emphasis>last address</emphasis>&gt;.
+          When the ACTION is DNAT or DNAT-, connections will be assigned to
+          the addresses in the range in a round-robin fashion
+          (load-balancing). <emphasis role="bold">This feature is available
+          with DNAT rules only with Shorewall 1.4.6 and later versions; it is
+          available with DNAT- rules in all versions that support
+          DNAT-.</emphasis></para>
         </listitem>
       </varlistentry>
 
@@ -1562,11 +1655,11 @@ DNAT      net       loc:192.168.1.3 tcp      ssh
         <term>DEST PORT(S)</term>
 
         <listitem>
-          <para>Port or port range (&#60;low port&#62;:&#60;high port&#62;)
-          being connected to. May only be specified if the protocol is tcp,
-          udp or icmp. For icmp, this column&#39;s contents are interpreted as
-          an icmp type. If you don&#39;t want to specify DEST PORT(S) but need
-          to include information in one of the columns to the right, enter
+          <para>Port or port range (&lt;low port&gt;:&lt;high port&gt;) being
+          connected to. May only be specified if the protocol is tcp, udp or
+          icmp. For icmp, this column's contents are interpreted as an icmp
+          type. If you don't want to specify DEST PORT(S) but need to include
+          information in one of the columns to the right, enter
           <quote>-</quote> in this column. You may give a list of ports and/or
           port ranges separated by commas. Port numbers may be either integers
           or service names from /etc/services.</para>
@@ -1578,13 +1671,13 @@ DNAT      net       loc:192.168.1.3 tcp      ssh
 
         <listitem>
           <para>May be used to restrict the rule to a particular client port
-          or port range (a port range is specified as &#60;low port
-          number&#62;:&#60;high port number&#62;). If you don&#39;t want to
-          restrict client ports but want to specify something in the next
-          column, enter <quote>-</quote> in this column. If you wish to
-          specify a list of port number or ranges, separate the list elements
-          with commas (with no embedded white space). Port numbers may be
-          either integers or service names from /etc/services.</para>
+          or port range (a port range is specified as &lt;low port
+          number&gt;:&lt;high port number&gt;). If you don't want to restrict
+          client ports but want to specify something in the next column, enter
+          <quote>-</quote> in this column. If you wish to specify a list of
+          port number or ranges, separate the list elements with commas (with
+          no embedded white space). Port numbers may be either integers or
+          service names from /etc/services.</para>
         </listitem>
       </varlistentry>
 
@@ -1648,19 +1741,20 @@ DNAT    loc:<emphasis role="bold">192.168.1.0/24</emphasis> loc:192.168.1.3 tcp
           ACCEPT, DNAT[-], REDIRECT[-] or LOG rules with an entry in this
           column. Entries have the form</para>
 
-          <programlisting>&#60;rate&#62;/&#60;interval&#62;[:&#60;burst&#62;]</programlisting>
+          <programlisting>&lt;rate&gt;/&lt;interval&gt;[:&lt;burst&gt;]</programlisting>
 
-          <para>where &#60;rate&#62; is the number of connections per
-          &#60;interval&#62; (<quote>sec</quote> or <quote>min</quote>) and
-          &#60;burst&#62; is the largest burst permitted. If no burst value is
+          <para>where &lt;rate&gt; is the number of connections per
+          &lt;interval&gt; (<quote>sec</quote> or <quote>min</quote>) and
+          &lt;burst&gt; is the largest burst permitted. If no burst value is
           given, a value of 5 is assumed.</para>
 
-          <para>There may be no whitespace embedded in the specification.</para>
+          <para>There may be no whitespace embedded in the
+          specification.</para>
 
           <example>
-            <title>Let&#39;s take</title>
+            <title>Let's take</title>
 
-            <programlisting>ACCEPT&#60;2/sec:4&#62; net dmz tcp 80</programlisting>
+            <programlisting>ACCEPT&lt;2/sec:4&gt; net dmz tcp 80</programlisting>
 
             <para>The first time this rule is reached, the packet will be
             accepted; in fact, since the burst is 4, the first four packets
@@ -1702,7 +1796,7 @@ DNAT    loc:<emphasis role="bold">192.168.1.0/24</emphasis> loc:192.168.1.3 tcp
       to 4/minute with a burst of 8 (Shorewall 1.4.7 and later only):</title>
 
       <programlisting>#ACTION        SOURCE      DEST             PROTO      DEST PORT(S)
-DNAT&#60;4/min:8&#62;  net         loc:192.168.1.3  tcp        ssh</programlisting>
+DNAT&lt;4/min:8&gt;  net         loc:192.168.1.3  tcp        ssh</programlisting>
     </example>
 
     <example>
@@ -1736,15 +1830,19 @@ ACCEPT         loc         dmz:155.186.235.222 tcp        www</programlisting>
       server to be accessible from the internet in addition to the local
       192.168.1.0/24 and dmz 192.168.2.0/24 subnetworks.</title>
 
-      <para><note><para>since the server is in the 192.168.2.0/24 subnetwork,
-      we can assume that access to the server from that subnet will not
-      involve the firewall (<ulink url="FAQ.htm#faq2">but see FAQ 2</ulink>)</para></note><note><para>unless
-      you have more than one external IP address, you can leave the ORIGINAL
-      DEST column blank in the first rule. You cannot leave it blank in the
-      second rule though because then all ftp connections originating in the
-      local subnet 192.168.1.0/24 would be sent to 192.168.2.2 regardless of
-      the site that the user was trying to connect to. That is clearly not
-      what you want.</para></note></para>
+      <para><note>
+          <para>since the server is in the 192.168.2.0/24 subnetwork, we can
+          assume that access to the server from that subnet will not involve
+          the firewall (<ulink url="FAQ.htm#faq2">but see FAQ
+          2</ulink>)</para>
+        </note><note>
+          <para>unless you have more than one external IP address, you can
+          leave the ORIGINAL DEST column blank in the first rule. You cannot
+          leave it blank in the second rule though because then all ftp
+          connections originating in the local subnet 192.168.1.0/24 would be
+          sent to 192.168.2.2 regardless of the site that the user was trying
+          to connect to. That is clearly not what you want.</para>
+        </note></para>
 
       <programlisting>#ACTION  SOURCE             DEST             PROTO  DEST PORT(S)   SOURCE   ORIGINAL
 #                                                                  PORT(S)  DEST
@@ -1781,15 +1879,18 @@ ACCEPT   loc:~02-00-08-E3-FA-55  dmz  all</programlisting>
       <programlisting>#ACTION  SOURCE   DEST PROTO DEST PORT(S)
 ACCEPT   all      dmz  tcp   25</programlisting>
 
-      <para><note><para>When <quote>all</quote> is used as a source or
-      destination, intra-zone traffic is not affected. In this example, if
-      there were two DMZ interfaces then the above rule would NOT enable SMTP
-      traffic between hosts on these interfaces.</para></note></para>
+      <para><note>
+          <para>When <quote>all</quote> is used as a source or destination,
+          intra-zone traffic is not affected. In this example, if there were
+          two DMZ interfaces then the above rule would NOT enable SMTP traffic
+          between hosts on these interfaces.</para>
+        </note></para>
     </example>
 
     <example>
-      <title>Your firewall&#39;s external interface has several IP addresses
-      but you only want to accept SSH connections on address 206.124.146.176.</title>
+      <title>Your firewall's external interface has several IP addresses but
+      you only want to accept SSH connections on address
+      206.124.146.176.</title>
 
       <programlisting>#ACTION  SOURCE   DEST               PROTO DEST PORT(S)
 ACCEPT   net      fw:206.124.146.176 tcp   22</programlisting>
@@ -1822,7 +1923,29 @@ ACCEPT   net      dmz:192.0.2.177  tcp    25</programlisting>
 DNAT     net      loc:192.168.1.101-192.168.1.109 tcp   80</programlisting>
     </example>
 
-    <para><ulink url="ports.htm">Look here for information on other services.</ulink></para>
+    <example>
+      <title>(Shorewall 2.0.2 Beta 2 and Later). You want to redirect all
+      local www connection requests EXCEPT those from 192.168.1.4 and
+      192.168.1.199 to a Squid transparent proxy running on the firewall and
+      listening on port 3128.</title>
+
+      <programlisting>#ACTION  SOURCE  DEST   PROTO   DEST PORT(S)   SOURCE   ORIGINAL
+#                                              PORT(S)  DEST
+NONAT    loc:192.168.1.4,192.168.1.199 \
+                 net    tcp     www
+REDIRECT loc     3128   tcp     www            -
+ACCEPT   fw      net    tcp     www</programlisting>
+
+      <para>The reason that NONAT is used in the above example rather than
+      ACCEPT+ is that the example is assuming the usual ACCEPT loc-&gt;net
+      policy. Since traffic from the local zone to the internet zone is
+      accepted anyway, adding an additional ACCEPT rule is unnecessary and all
+      that is required is to avoid the REDIRECT rule for HTTP connection
+      requests from the two listed IP addresses.</para>
+    </example>
+
+    <para><ulink url="ports.htm">Look here for information on other
+    services.</ulink></para>
   </section>
 
   <section id="Masq" xreflabel="/etc/shorewall/masq">
@@ -1845,13 +1968,15 @@ DNAT     net      loc:192.168.1.101-192.168.1.109 tcp   80</programlisting>
           optionally qualified by adding <quote>:</quote> and a subnet or host
           IP. When this qualification is added, only packets addressed to that
           host or subnet will be masqueraded. Beginning with Shorewall version
-          1.4.10, the interface name can be qualified with &#34;:&#34;
-          followed by a comma separated list of hosts and/or subnets. If this
-          list begins with <quote>!</quote> (e.g., <quote>eth0:!192.0.2.8/29,192.0.2.32/29</quote>)
-          then only packets addressed to destinations <emphasis role="bold">not</emphasis>
-          listed will be masqueraded; otherwise (e.g., <quote>eth0:192.0.2.8/29,192.0.2.32/29</quote>),
-          traffic will be masqueraded if it <emphasis role="bold">does</emphasis>
-          match one of the listed addresses.</para>
+          1.4.10, the interface name can be qualified with ":" followed by a
+          comma separated list of hosts and/or subnets. If this list begins
+          with <quote>!</quote> (e.g.,
+          <quote>eth0:!192.0.2.8/29,192.0.2.32/29</quote>) then only packets
+          addressed to destinations <emphasis role="bold">not</emphasis>
+          listed will be masqueraded; otherwise (e.g.,
+          <quote>eth0:192.0.2.8/29,192.0.2.32/29</quote>), traffic will be
+          masqueraded if it <emphasis role="bold">does</emphasis> match one of
+          the listed addresses.</para>
 
           <para>Beginning with Shorewall version 1.3.14, if you have set
           ADD_SNAT_ALIASES=Yes in <xref linkend="Conf" />, you can cause
@@ -1912,6 +2037,48 @@ DNAT     net      loc:192.168.1.101-192.168.1.109 tcp   80</programlisting>
           will use all listed ranges/addresses in rounde-robin fashion.</para>
         </listitem>
       </varlistentry>
+
+      <varlistentry>
+        <term>PROTO (Added in Shorewall version 2.0.2 Beta 1)</term>
+
+        <listitem>
+          <para>If specified, must be a protocol number of a protocol name
+          from /etc/protocols. Restricts the SNAT or Masquerade to that
+          protocol.</para>
+        </listitem>
+      </varlistentry>
+
+      <varlistentry>
+        <term>PORT(S) (Added in Shorewall version 2.0.2 Beta 1)</term>
+
+        <listitem>
+          <para>If the PROTO column specifies TCP (6) or UDP (17) then this
+          column may be used to restrict to SNAT or Masquerade to traffic with
+          a certain destination port or a set of destination ports. The column
+          may contain:</para>
+
+          <itemizedlist>
+            <listitem>
+              <para>A port number or a port name from /etc/services.</para>
+            </listitem>
+
+            <listitem>
+              <para>A comma-separated list of port numbers and/or port names.
+              Your kernel must have Multiport match support. You can tell if
+              your kernel has this support by issuing a <command>shorewall
+              check</command> command and looking at the output under
+              <quote>Shorewall has detected the following iptables/netfilter
+              capabilities:</quote>.</para>
+            </listitem>
+
+            <listitem>
+              <para>A range of port numbers of the form &lt;<emphasis>low
+              port</emphasis>&gt;:&lt;<emphasis>high
+              port</emphasis>&gt;</para>
+            </listitem>
+          </itemizedlist>
+        </listitem>
+      </varlistentry>
     </variablelist>
 
     <example>
@@ -1934,7 +2101,7 @@ ipsec0:10.1.0.0/16  192.168.9.0/24</programlisting>
 
     <example>
       <title>You have a DSL line connected on eth0 and a local network
-      (192.168.10.0/24) connected to eth1. You want all local-&#62;net
+      (192.168.10.0/24) connected to eth1. You want all local-&gt;net
       connections to use source address 206.124.146.176.</title>
 
       <programlisting>#INTERFACE          SUBNET           ADDRESS
@@ -1950,18 +2117,18 @@ eth0       192.168.10.0/24!192.168.10.44,192.168.10.45 206.124.146.176</programl
     </example>
 
     <example>
-      <title><emphasis role="bold">(Shorewall version &#62;= 1.3.14):</emphasis>
-      You have a second IP address (206.124.146.177) assigned to you and wish
-      to use it for SNAT of the subnet 192.168.12.0/24. You want to give that
-      address the name eth0:0. You must have ADD_SNAT_ALIASES=Yes in <xref
-      linkend="Conf" />.</title>
+      <title><emphasis role="bold">(Shorewall version &gt;=
+      1.3.14):</emphasis> You have a second IP address (206.124.146.177)
+      assigned to you and wish to use it for SNAT of the subnet
+      192.168.12.0/24. You want to give that address the name eth0:0. You must
+      have ADD_SNAT_ALIASES=Yes in <xref linkend="Conf" />.</title>
 
       <programlisting>#INTERFACE           SUBNET           ADDRESS
 eth0:0               192.168.12.0/24  206.124.146.177</programlisting>
     </example>
 
     <example>
-      <title><emphasis role="bold">(Shorewall version &#62;= 1.4.7):</emphasis>
+      <title><emphasis role="bold">(Shorewall version &gt;= 1.4.7):</emphasis>
       You want to use both 206.124.146.177 and 206.124.146.179 for SNAT of the
       subnet 192.168.12.0/24. Each address will be used on alternate outbound
       connections.</title>
@@ -1969,6 +2136,21 @@ eth0:0               192.168.12.0/24  206.124.146.177</programlisting>
       <programlisting>#INTERFACE            SUBNET          ADDRESS
 eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programlisting>
     </example>
+
+    <example>
+      <title><emphasis role="bold">(Shorewall version &gt;= 2.0.2 Beta
+      1):</emphasis> You want all outgoing SMTP traffic entering the firewall
+      on eth1 to be sent from eth0 with source IP address 206.124.146.177. You
+      want all other outgoing traffic from eth1 to be sent from eth0 with
+      source IP address 206.124.146.176.</title>
+
+      <programlisting>#INTERFACE            SUBNET          ADDRESS            PROTO  PORT(S)
+eth0                  eth1            206.124.146.177    tcp    25
+eth0                  eth1            206.124.146.176</programlisting>
+
+      <para>Note that the order of the entries in the above example is
+      important.</para>
+    </example>
   </section>
 
   <section id="ProxyArp" xreflabel="/etc/shorewall/proxyarp">
@@ -1978,10 +2160,11 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
     that you look at the <ulink
     url="http://www.tldp.org/HOWTO/mini/Proxy-ARP-Subnet/">Proxy ARP Subnet
     Mini HOWTO</ulink>. If you decide to use the technique described in that
-    HOWTO, you can set the proxy_arp flag for an interface (<filename>/proc/sys/net/ipv4/conf/</filename>&#60;<emphasis>interface</emphasis>&#62;<filename>/proxy_arp</filename>)
+    HOWTO, you can set the proxy_arp flag for an interface
+    (<filename>/proc/sys/net/ipv4/conf/</filename>&lt;<emphasis>interface</emphasis>&gt;<filename>/proxy_arp</filename>)
     by including the <emphasis role="bold">proxyarp</emphasis> option in the
-    interface&#39;s record in <xref linkend="Interfaces" />. When using Proxy
-    ARP sub-netting, you do <emphasis role="bold">NOT</emphasis> include any
+    interface's record in <xref linkend="Interfaces" />. When using Proxy ARP
+    sub-netting, you do <emphasis role="bold">NOT</emphasis> include any
     entries in /etc/shorewall/proxyarp.</para>
 
     <para>The <filename>/etc/shorewall/proxyarp </filename>file is used to
@@ -2032,33 +2215,33 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
         <term>PERSISTENT</term>
 
         <listitem>
-          <para>If you specify &#34;No&#34; or &#34;no&#34; in the HAVEROUTE
-          column, Shorewall will automatically add a route to the host in the
-          ADDRESS column through the interface in the INTERFACE column. If you
-          enter <quote>No</quote> or <quote>no</quote> in the PERSISTENT
-          column or if you leave the column empty, that route will be deleted
-          if you issue a <command>shorewall stop</command> or
-          <command>shorewall clear</command> command. If you place
-          <quote>Yes</quote> or <quote>yes</quote> in the PERSISTENT column,
-          then those commands will not cause the route to be deleted.</para>
+          <para>If you specify "No" or "no" in the HAVEROUTE column, Shorewall
+          will automatically add a route to the host in the ADDRESS column
+          through the interface in the INTERFACE column. If you enter
+          <quote>No</quote> or <quote>no</quote> in the PERSISTENT column or
+          if you leave the column empty, that route will be deleted if you
+          issue a <command>shorewall stop</command> or <command>shorewall
+          clear</command> command. If you place <quote>Yes</quote> or
+          <quote>yes</quote> in the PERSISTENT column, then those commands
+          will not cause the route to be deleted.</para>
         </listitem>
       </varlistentry>
     </variablelist>
 
     <note>
-      <para>After you have made a change to the <filename>/etc/shorewall/proxyarp
-      file</filename>, you may need to flush the ARP cache of all routers on
-      the LAN segment connected to the interface specified in the EXTERNAL
-      column of the change/added entry(s). If you are having problems
-      communicating between an individual host (A) on that segment and a
-      system whose entry has changed, you may need to flush the ARP cache on
-      host A as well.</para>
+      <para>After you have made a change to the
+      <filename>/etc/shorewall/proxyarp file</filename>, you may need to flush
+      the ARP cache of all routers on the LAN segment connected to the
+      interface specified in the EXTERNAL column of the change/added entry(s).
+      If you are having problems communicating between an individual host (A)
+      on that segment and a system whose entry has changed, you may need to
+      flush the ARP cache on host A as well.</para>
 
       <para>ISPs typically have ARP configured with long TTL (hours!) so if
       your ISPs router has a stale cache entry (as seen using <quote>tcpdump
-      -nei &#60;external interface&#62; host &#60;IP addr&#62;</quote>), it
-      may take a long while to time out. I personally have had to contact my
-      ISP and ask them to delete a stale entry in order to restore a system to
+      -nei &lt;external interface&gt; host &lt;IP addr&gt;</quote>), it may
+      take a long while to time out. I personally have had to contact my ISP
+      and ask them to delete a stale entry in order to restore a system to
       working order after changing my proxy ARP settings.</para>
     </note>
 
@@ -2072,18 +2255,21 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
 
       <para>In your DMZ, you want to install a Web/FTP server with public
       address 155.186.235.4. On the Web server, you subnet just like the
-      firewall&#39;s eth0 and you configure 155.186.235.1 as the default
-      gateway. In your <filename>/etc/shorewall/proxyarp</filename> file, you
-      will have:</para>
+      firewall's eth0 and you configure 155.186.235.1 as the default gateway.
+      In your <filename>/etc/shorewall/proxyarp</filename> file, you will
+      have:</para>
 
       <programlisting>#ADDRESS       INTERFACE        EXTERNAL          HAVEROUTE
 155.186.235.4  eth2             eth0              NO</programlisting>
 
-      <para><tip><para>You may want to configure the servers in your DMZ with
-      a subnet that is smaller than the subnet of your internet interface. See
-      the <ulink url="http://www.tldp.org/HOWTO/mini/Proxy-ARP-Subnet/">Proxy
-      ARP Subnet Mini HOWTO</ulink> for details. In this case you will want to
-      place <quote>Yes</quote> in the HAVEROUTE column.</para></tip></para>
+      <para><tip>
+          <para>You may want to configure the servers in your DMZ with a
+          subnet that is smaller than the subnet of your internet interface.
+          See the <ulink
+          url="http://www.tldp.org/HOWTO/mini/Proxy-ARP-Subnet/">Proxy ARP
+          Subnet Mini HOWTO</ulink> for details. In this case you will want to
+          place <quote>Yes</quote> in the HAVEROUTE column.</para>
+        </tip></para>
     </example>
 
     <warning>
@@ -2092,12 +2278,12 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
       Shorewall with an IPSEC tunnel active, the proxied IP addresses are
       mistakenly assigned to the IPSEC tunnel device (ipsecX) rather than to
       the interface that you specify in the INTERFACE column of
-      <filename>/etc/shorewall/proxyarp</filename>. I haven&#39;t had the time
-      to debug this problem so I can&#39;t say if it is a bug in the Kernel or
-      in FreeS/Wan.</para>
+      <filename>/etc/shorewall/proxyarp</filename>. I haven't had the time to
+      debug this problem so I can't say if it is a bug in the Kernel or in
+      FreeS/Wan.</para>
 
       <para>You <emphasis role="bold">might</emphasis> be able to work around
-      this problem using the following (I haven&#39;t tried it):</para>
+      this problem using the following (I haven't tried it):</para>
 
       <para>In <filename>/etc/shorewall/init</filename>, include:</para>
 
@@ -2120,10 +2306,11 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
     <important>
       <para>If all you want to do is forward ports to servers behind your
       firewall, you do NOT want to use one-to-one NAT. Port forwarding can be
-      accomplished with simple entries in the <link linkend="Rules">rules file</link>.
-      Also, in most cases <link linkend="ProxyArp">Proxy ARP</link> provides a
-      superior solution to one-to-one NAT because the internal systems are
-      accessed using the same IP address internally and externally.</para>
+      accomplished with simple entries in the <link linkend="Rules">rules
+      file</link>. Also, in most cases <link linkend="ProxyArp">Proxy
+      ARP</link> provides a superior solution to one-to-one NAT because the
+      internal systems are accessed using the same IP address internally and
+      externally.</para>
     </important>
 
     <para>Columns in an entry are:</para>
@@ -2181,13 +2368,17 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
         <term>LOCAL</term>
 
         <listitem>
-          <para>If Yes or yes and the ALL INTERFACES column contains Yes or
-          yes, NAT will be effective from the firewall system.</para>
+          <para>If Yes or yes, NAT will be effective from the firewall system.
+          Note that with Shorewall 2.0.1 and earlier versions, this column was
+          ignored if the ALL INTERFACES column did not contain "Yes" or "yes".
+          Beginning with Shorewall 2.0.2 Beta 1, this column's contents are
+          independent of the value in ALL INTERFACES.</para>
 
           <note>
             <para>For this to work, you must be running kernel 2.4.19 or later
             and iptables 1.2.6a or later and you must have enabled <emphasis
-            role="bold">CONFIG_IP_NF_NAT_LOCAL</emphasis> in your kernel.</para>
+            role="bold">CONFIG_IP_NF_NAT_LOCAL</emphasis> in your
+            kernel.</para>
           </note>
         </listitem>
       </varlistentry>
@@ -2213,13 +2404,13 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
       compilation errors.</para>
     </note>
 
-    <para>Instructions for setting up <ulink url="IPSEC.htm">IPSEC tunnels</ulink>
-    may be found here, instructions for <ulink url="IPIP.htm">IPIP and GRE
-    tunnels</ulink> are here, instructions for <ulink url="OPENVPN.html">OpenVPN
-    tunnels</ulink> are here, instructions for <ulink url="PPTP.htm">PPTP
-    tunnels</ulink> are here, instructions for <ulink url="6to4.htm">6to4
-    tunnels</ulink> are here, and instructions for <ulink
-    url="GenericTunnels.html">integrating Shorewall with other types of
+    <para>Instructions for setting up <ulink url="IPSEC.htm">IPSEC
+    tunnels</ulink> may be found here, instructions for <ulink
+    url="IPIP.htm">IPIP and GRE tunnels</ulink> are here, instructions for
+    <ulink url="OPENVPN.html">OpenVPN tunnels</ulink> are here, instructions
+    for <ulink url="PPTP.htm">PPTP tunnels</ulink> are here, instructions for
+    <ulink url="6to4.htm">6to4 tunnels</ulink> are here, and instructions for
+    <ulink url="GenericTunnels.html">integrating Shorewall with other types of
     tunnels</ulink> are here.</para>
   </section>
 
@@ -2229,6 +2420,52 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
     <para>This file is used to set the following firewall parameters:</para>
 
     <variablelist>
+      <varlistentry>
+        <term>DYNAMIC_ZONES</term>
+
+        <listitem>
+          <para>(Added at version 2.0.2) - When set to Yes or yes, enables
+          <ulink url="IPSEC.htm">dynamic zones</ulink>.</para>
+        </listitem>
+      </varlistentry>
+
+      <varlistentry>
+        <term>CONFIG_PATH</term>
+
+        <listitem>
+          <para>(Added at version 2.0.2) - Specifies where configuration files
+          other than <filename>shorewall.conf</filename> may be found.
+          CONFIG_PATH is specifies as a list of directory names separated by
+          colons (":"). When looking for a configuration file other than
+          shorewall.conf:</para>
+
+          <itemizedlist>
+            <listitem>
+              <para>If the command is "try" or if "-c &lt;configuration
+              directory&gt;" was specified in the command then the directory
+              given in the command is searched first.</para>
+            </listitem>
+
+            <listitem>
+              <para>Next, each directory in the CONFIG_PATH setting is
+              searched in sequence.</para>
+            </listitem>
+          </itemizedlist>
+
+          <para>If CONFIG_PATH is not given or if it is set to the empty value
+          then the contents of
+          <filename>/usr/share/shorewall/configpath</filename> are used. As
+          released from shorewall.net, that file sets the CONFIG_PATH to
+          <emphasis role="bold">/etc/shorewall:/usr/share/shorewall
+          </emphasis>but your particular distribution may set it
+          differently.</para>
+
+          <para>Note that the setting in
+          <filename>/usr/share/shorewall/configpath</filename> is always used
+          to locate <filename>shorewall.conf</filename>.</para>
+        </listitem>
+      </varlistentry>
+
       <varlistentry>
         <term>BRIDGING</term>
 
@@ -2244,9 +2481,10 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
         <listitem>
           <para>(Added at version 2.0.0) - Specifies the logging level for
           smurf packets (see the <emphasis role="bold">nosmurfs</emphasis>
-          option in <link linkend="Interfaces">/etc/shorewall/interfaces</link>).
-          If set to the empty value ( SMURF_LOG_LEVEL=&#34;&#34; ) then smurfs
-          are not logged.</para>
+          option in <link
+          linkend="Interfaces">/etc/shorewall/interfaces</link>). If set to
+          the empty value ( SMURF_LOG_LEVEL="" ) then smurfs are not
+          logged.</para>
         </listitem>
       </varlistentry>
 
@@ -2256,8 +2494,8 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
         <listitem>
           <para>(Added at version 1.4.9) - The value of this variable
           determines the possible file extensions of kernel modules. The
-          default value is &#34;o gz ko and o.gz&#34;. See <xref
-          linkend="modules" /> for more details.</para>
+          default value is "o gz ko and o.gz". See <xref linkend="modules" />
+          for more details.</para>
         </listitem>
       </varlistentry>
 
@@ -2266,7 +2504,7 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
 
         <listitem>
           <para>(Added at version 1.4.7) - The value of this variable affects
-          Shorewall&#39;s <ulink url="starting_and_stopping_shorewall.htm">stopped
+          Shorewall's <ulink url="starting_and_stopping_shorewall.htm">stopped
           state</ulink>. When ADMINISABSENTMINDES=No, only traffic to/from
           those addresses listed in /etc/shorewall/routestopped is accepted
           when Shorewall is stopped.When ADMINISABSENTMINDED=Yes, in addition
@@ -2300,24 +2538,24 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
           disposition). To use LOGFORMAT with <ulink
           url="http://www.fireparse.com">fireparse</ulink>, set it as:</para>
 
-          <programlisting>LOGFORMAT=&#34;fp=%s:%d a=%s &#34;</programlisting>
+          <programlisting>LOGFORMAT="fp=%s:%d a=%s "</programlisting>
 
-          <para>If the LOGFORMAT value contains the substring <quote>%d</quote>
-          then the logging rule number is calculated and formatted in that
-          position; if that substring is not included then the rule number is
-          not included. If not supplied or supplied as empty
-          (LOGFORMAT=&#34;&#34;) then <quote>Shorewall:%s:%s:</quote> is
+          <para>If the LOGFORMAT value contains the substring
+          <quote>%d</quote> then the logging rule number is calculated and
+          formatted in that position; if that substring is not included then
+          the rule number is not included. If not supplied or supplied as
+          empty (LOGFORMAT="") then <quote>Shorewall:%s:%s:</quote> is
           assumed.</para>
 
           <caution>
             <para><command>/sbin/shorewall</command> uses the leading part of
             the LOGFORMAT string (up to but not including the first
-            <quote>%</quote>) to find log messages in the <quote>show log</quote>,
-            <quote>status</quote> and <quote>hits</quote> commands. This part
-            should not be omitted (the LOGFORMAT should not begin with
-            <quote>%</quote>) and the leading part should be sufficiently
-            unique for <command>/sbin/shorewall</command> to identify
-            Shorewall messages.</para>
+            <quote>%</quote>) to find log messages in the <quote>show
+            log</quote>, <quote>status</quote> and <quote>hits</quote>
+            commands. This part should not be omitted (the LOGFORMAT should
+            not begin with <quote>%</quote>) and the leading part should be
+            sufficiently unique for <command>/sbin/shorewall</command> to
+            identify Shorewall messages.</para>
           </caution>
         </listitem>
       </varlistentry>
@@ -2327,15 +2565,16 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
 
         <listitem>
           <para>(Added at version 1.3.13) - If this option is set to
-          <quote>No</quote> then Shorewall won&#39;t clear the current traffic
+          <quote>No</quote> then Shorewall won't clear the current traffic
           control rules during [re]start. This setting is intended for use by
           people that prefer to configure traffic shaping when the network
           interfaces come up rather than when the firewall is started. If that
           is what you want to do, set TC_ENABLED=Yes and CLEAR_TC=No and do
           not supply an <filename>/etc/shorewall/tcstart</filename> file. That
-          way, your traffic shaping rules can still use the <quote>fwmark</quote>
-          classifier based on packet marking defined in
-          /etc/shorewall/tcrules. If not specified, CLEAR_TC=Yes is assumed.</para>
+          way, your traffic shaping rules can still use the
+          <quote>fwmark</quote> classifier based on packet marking defined in
+          /etc/shorewall/tcrules. If not specified, CLEAR_TC=Yes is
+          assumed.</para>
         </listitem>
       </varlistentry>
 
@@ -2354,7 +2593,7 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
           show mangle</command></quote> command; if a FORWARD chain is
           displayed then your kernel will support this option. If this option
           is not specified or if it is given the empty value (e.g.,
-          MARK_IN_FORWARD_CHAIN=&#34;&#34;) then MARK_IN_FORWARD_CHAIN=No is
+          MARK_IN_FORWARD_CHAIN="") then MARK_IN_FORWARD_CHAIN=No is
           assumed.</para>
         </listitem>
       </varlistentry>
@@ -2364,8 +2603,9 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
 
         <listitem>
           <para>(Added at version 1.3.12) - This parameter determines the
-          level at which packets logged under the <link linkend="rfc1918"><quote>norfc1918</quote>
-          mechanism</link> are logged. The value must be a valid <ulink
+          level at which packets logged under the <link
+          linkend="rfc1918"><quote>norfc1918</quote> mechanism</link> are
+          logged. The value must be a valid <ulink
           url="shorewall_logging.html">syslog level</ulink> and if no level is
           given, then info is assumed. Prior to Shorewall version 1.3.12,
           these packets are always logged at the info level.</para>
@@ -2377,8 +2617,9 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
 
         <listitem>
           <para>(Added at version 2.0.1) - This parameter determines the level
-          at which packets logged under the <link linkend="rfc1918"><quote>nobogons</quote>
-          mechanism</link> are logged. The value must be a valid <ulink
+          at which packets logged under the <link
+          linkend="rfc1918"><quote>nobogons</quote> mechanism</link> are
+          logged. The value must be a valid <ulink
           url="shorewall_logging.html">syslog level</ulink> and if no level is
           given, then info is assumed.</para>
         </listitem>
@@ -2393,8 +2634,8 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
           linkend="Interfaces">tcpflags</link> interface option and must have
           a value of ACCEPT (accept the packet), REJECT (send an RST response)
           or DROP (ignore the packet). If not set or if set to the empty value
-          (e.g., TCP_FLAGS_DISPOSITION=&#34;&#34;) then
-          TCP_FLAGS_DISPOSITION=DROP is assumed.</para>
+          (e.g., TCP_FLAGS_DISPOSITION="") then TCP_FLAGS_DISPOSITION=DROP is
+          assumed.</para>
         </listitem>
       </varlistentry>
 
@@ -2406,9 +2647,9 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
           url="shorewall_logging.html">syslog level</ulink> for logging
           packets that fail the checks enabled by the <link
           linkend="Interfaces">tcpflags</link> interface option.The value must
-          be a valid syslogd log level. If you don&#39;t want to log these
+          be a valid syslogd log level. If you don't want to log these
           packets, set to the empty value (e.g.,
-          TCP_FLAGS_LOG_LEVEL=&#34;&#34;).</para>
+          TCP_FLAGS_LOG_LEVEL="").</para>
         </listitem>
       </varlistentry>
 
@@ -2421,7 +2662,7 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
           Verification</ulink> and must have the value ACCEPT (accept the
           connection request anyway), REJECT (reject the connection request)
           or DROP (ignore the connection request). If not set or if set to the
-          empty value (e.g., MACLIST_DISPOSITION=&#34;&#34;) then
+          empty value (e.g., MACLIST_DISPOSITION="") then
           MACLIST_DISPOSITION=REJECT is assumed.</para>
         </listitem>
       </varlistentry>
@@ -2434,8 +2675,8 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
           url="shorewall_logging.html">syslog level</ulink> for logging
           connection requests that fail <ulink url="MAC_Validation.html">MAC
           Verification</ulink>. The value must be a valid syslogd log level.
-          If you don&#39;t want to log these connection requests, set to the
-          empty value (e.g., MACLIST_LOG_LEVEL=&#34;&#34;).</para>
+          If you don't want to log these connection requests, set to the empty
+          value (e.g., MACLIST_LOG_LEVEL="").</para>
         </listitem>
       </varlistentry>
 
@@ -2464,7 +2705,8 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
           Shorewall drops non-SYN TCP packets that are not part of an existing
           connection. If you would like to log these packets, set LOGNEWNOTSYN
           to the <ulink url="shorewall_logging.html">syslog level</ulink> at
-          which you want the packets logged. Example: LOGNEWNOTSYN=ULOG|</para>
+          which you want the packets logged. Example:
+          LOGNEWNOTSYN=ULOG|</para>
 
           <note>
             <para>Packets logged under this option are usually the result of
@@ -2484,8 +2726,8 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
           DNAT rules as the original destination IP address. If set to
           <quote>No</quote> or <quote>no</quote>, Shorewall will not detect
           this address and any destination IP address will match the DNAT
-          rule. If not specified or empty, <quote>DETECT_DNAT_ADDRS=Yes</quote>
-          is assumed.</para>
+          rule. If not specified or empty,
+          <quote>DETECT_DNAT_ADDRS=Yes</quote> is assumed.</para>
         </listitem>
       </varlistentry>
 
@@ -2519,8 +2761,8 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
           <para>This parameter should be set to the name of a file that the
           firewall should create if it starts successfully and remove when it
           stops. Creating and removing this file allows Shorewall to work with
-          your distribution&#39;s initscripts. For RedHat, this should be set
-          to /var/lock/subsys/shorewall. For Debian, the value is
+          your distribution's initscripts. For RedHat, this should be set to
+          /var/lock/subsys/shorewall. For Debian, the value is
           /var/state/shorewall and in LEAF it is /var/run/shorwall. Example:
           SUBSYSLOCK=/var/lock/subsys/shorewall.</para>
         </listitem>
@@ -2531,8 +2773,8 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
 
         <listitem>
           <para>This parameter specifies the name of a directory where
-          Shorewall stores state information. If the directory doesn&#39;t
-          exist when Shorewall starts, it will create the directory. Example:
+          Shorewall stores state information. If the directory doesn't exist
+          when Shorewall starts, it will create the directory. Example:
           STATEDIR=/tmp/shorewall.</para>
 
           <note>
@@ -2549,7 +2791,7 @@ eth0                  192.168.12.0/24 206.124.146.177,206.124.146.179</programli
         <listitem>
           <para>This parameter specifies the directory where your kernel
           netfilter modules may be found. If you leave the variable empty,
-          Shorewall will supply the value &#34;/lib/modules/`uname
+          Shorewall will supply the value "/lib/modules/`uname
           -r`/kernel/net/ipv4/netfilter.</para>
         </listitem>
       </varlistentry>
@@ -2577,7 +2819,8 @@ LOGBURST=5</programlisting>
             be logged from the rule, regardless of how many packets reach it.
             Also, every 6 seconds which passes without matching a packet, one
             of the bursts will be regained; if no packets hit the rule for 30
-            seconds, the burst will be fully recharged; back where we started.</para>
+            seconds, the burst will be fully recharged; back where we
+            started.</para>
           </example>
         </listitem>
       </varlistentry>
@@ -2588,9 +2831,9 @@ LOGBURST=5</programlisting>
         <listitem>
           <para>This parameter tells the /sbin/shorewall program where to look
           for Shorewall messages when processing the <quote>show log</quote>,
-          <quote>monitor</quote>, <quote>status</quote> and <quote>hits</quote>
-          commands. If not assigned or if assigned an empty value,
-          /var/log/messages is assumed.</para>
+          <quote>monitor</quote>, <quote>status</quote> and
+          <quote>hits</quote> commands. If not assigned or if assigned an
+          empty value, /var/log/messages is assumed.</para>
         </listitem>
       </varlistentry>
 
@@ -2630,7 +2873,7 @@ LOGBURST=5</programlisting>
           </variablelist>
 
           <para>If this variable is not set or is given an empty value
-          (IP_FORWARD=&#34;&#34;) then IP_FORWARD=On is assumed.</para>
+          (IP_FORWARD="") then IP_FORWARD=On is assumed.</para>
         </listitem>
       </varlistentry>
 
@@ -2639,14 +2882,15 @@ LOGBURST=5</programlisting>
 
         <listitem>
           <para>This parameter determines whether Shorewall automatically adds
-          the <emphasis>external</emphasis> address(es) in <xref linkend="NAT" />.
-          If the variable is set to <quote>Yes</quote> or <quote>yes</quote>
-          then Shorewall automatically adds these aliases. If it is set to
-          <quote>No</quote> or <quote>no</quote>, you must add these aliases
-          yourself using your distribution&#39;s network configuration tools.</para>
+          the <emphasis>external</emphasis> address(es) in <xref
+          linkend="NAT" />. If the variable is set to <quote>Yes</quote> or
+          <quote>yes</quote> then Shorewall automatically adds these aliases.
+          If it is set to <quote>No</quote> or <quote>no</quote>, you must add
+          these aliases yourself using your distribution's network
+          configuration tools.</para>
 
           <para>If this variable is not set or is given an empty value
-          (ADD_IP_ALIASES=&#34;&#34;) then ADD_IP_ALIASES=Yes is assumed.</para>
+          (ADD_IP_ALIASES="") then ADD_IP_ALIASES=Yes is assumed.</para>
         </listitem>
       </varlistentry>
 
@@ -2659,10 +2903,11 @@ LOGBURST=5</programlisting>
           the variable is set to <quote>Yes</quote> or <quote>yes</quote> then
           Shorewall automatically adds these addresses. If it is set to
           <quote>No</quote> or <quote>no</quote>, you must add these addresses
-          yourself using your distribution&#39;s network configuration tools.</para>
+          yourself using your distribution's network configuration
+          tools.</para>
 
           <para>If this variable is not set or is given an empty value
-          (ADD_SNAT_ALIASES=&#34;&#34;) then ADD_SNAT_ALIASES=No is assumed.</para>
+          (ADD_SNAT_ALIASES="") then ADD_SNAT_ALIASES=No is assumed.</para>
         </listitem>
       </varlistentry>
 
@@ -2673,10 +2918,10 @@ LOGBURST=5</programlisting>
           <para>This parameter determines the logging level of mangled/invalid
           packets controlled by the <quote>dropunclean and logunclean</quote>
           interface options. If LOGUNCLEAN is empty (LOGUNCLEAN=) then packets
-          selected by <quote>dropclean</quote> are dropped silently (<quote>logunclean</quote>
-          packets are logged under the <quote>info</quote> log level).
-          Otherwise, these packets are logged at the specified level (Example:
-          LOGUNCLEAN=debug).</para>
+          selected by <quote>dropclean</quote> are dropped silently
+          (<quote>logunclean</quote> packets are logged under the
+          <quote>info</quote> log level). Otherwise, these packets are logged
+          at the specified level (Example: LOGUNCLEAN=debug).</para>
         </listitem>
       </varlistentry>
 
@@ -2698,10 +2943,10 @@ LOGBURST=5</programlisting>
         <listitem>
           <para>This paremter determines if packets from blacklisted hosts are
           logged and it determines the syslog level that they are to be logged
-          at. Its value is a <ulink url="shorewall_logging.html">syslog level</ulink>
-          (Example: BLACKLIST_LOGLEVEL=debug). If you do not assign a value or
-          if you assign an empty value then packets from blacklisted hosts are
-          not logged.</para>
+          at. Its value is a <ulink url="shorewall_logging.html">syslog
+          level</ulink> (Example: BLACKLIST_LOGLEVEL=debug). If you do not
+          assign a value or if you assign an empty value then packets from
+          blacklisted hosts are not logged.</para>
         </listitem>
       </varlistentry>
 
@@ -2713,7 +2958,8 @@ LOGBURST=5</programlisting>
           Netfilter and is usually required when your internet connection is
           through PPPoE or PPTP. If set to <quote>Yes</quote> or
           <quote>yes</quote>, the feature is enabled. If left blank or set to
-          <quote>No</quote> or <quote>no</quote>, the feature is not enabled.</para>
+          <quote>No</quote> or <quote>no</quote>, the feature is not
+          enabled.</para>
 
           <note>
             <para>This option requires CONFIG_IP_NF_TARGET_TCPMSS <ulink
@@ -2745,17 +2991,19 @@ LOGBURST=5</programlisting>
     parameter exists (see <xref linkend="Conf" /> above).</para>
 
     <para>The file that is released with Shorewall calls the Shorewall
-    function <quote>loadmodule</quote> for the set of modules that I load.</para>
+    function <quote>loadmodule</quote> for the set of modules that I
+    load.</para>
 
-    <para>The <emphasis>loadmodule</emphasis> function is called as follows:</para>
+    <para>The <emphasis>loadmodule</emphasis> function is called as
+    follows:</para>
 
-    <programlisting>loadmodule &#60;<emphasis>modulename</emphasis>&#62; [ &#60;<emphasis>module parameters</emphasis>&#62; ]</programlisting>
+    <programlisting>loadmodule &lt;<emphasis>modulename</emphasis>&gt; [ &lt;<emphasis>module parameters</emphasis>&gt; ]</programlisting>
 
     <para>where</para>
 
     <variablelist>
       <varlistentry>
-        <term>&#60;<emphasis>modulename</emphasis>&#62;</term>
+        <term>&lt;<emphasis>modulename</emphasis>&gt;</term>
 
         <listitem>
           <para>is the name of the modules without the trailing
@@ -2764,7 +3012,7 @@ LOGBURST=5</programlisting>
       </varlistentry>
 
       <varlistentry>
-        <term>&#60;<emphasis>module parameters</emphasis>&#62;</term>
+        <term>&lt;<emphasis>module parameters</emphasis>&gt;</term>
 
         <listitem>
           <para>Optional parameters to the insmod utility.</para>
@@ -2772,31 +3020,31 @@ LOGBURST=5</programlisting>
       </varlistentry>
     </variablelist>
 
-    <para>The function determines if the module named by &#60;<emphasis>modulename</emphasis>&#62;
-    is already loaded and if not then the function determines if the
-    <quote>.o</quote> file corresponding to the module exists in the
-    <emphasis>&#60;moduledirectory&#62;</emphasis>; if so, then the following
-    command is executed:</para>
+    <para>The function determines if the module named by
+    &lt;<emphasis>modulename</emphasis>&gt; is already loaded and if not then
+    the function determines if the <quote>.o</quote> file corresponding to the
+    module exists in the <emphasis>&lt;moduledirectory&gt;</emphasis>; if so,
+    then the following command is executed:</para>
 
-    <programlisting>insmod <emphasis>&#60;moduledirectory</emphasis>&#62;/&#60;<emphasis>modulename</emphasis>&#62;.o &#60;<emphasis>module parameters</emphasis>&#62;</programlisting>
+    <programlisting>insmod <emphasis>&lt;moduledirectory</emphasis>&gt;/&lt;<emphasis>modulename</emphasis>&gt;.o &lt;<emphasis>module parameters</emphasis>&gt;</programlisting>
 
-    <para>If the file doesn&#39;t exist, the function determines of the
+    <para>If the file doesn't exist, the function determines of the
     <quote>.o.gz</quote> file corresponding to the module exists in the
     <emphasis>moduledirectory</emphasis>. If it does, the function assumes
     that the running configuration supports compressed modules and execute the
     following command:</para>
 
-    <programlisting>insmod <emphasis>&#60;moduledirectory</emphasis>&#62;/&#60;<emphasis>modulename</emphasis>&#62;.o.gz &#60;<emphasis>module parameters</emphasis>&#62;</programlisting>
+    <programlisting>insmod <emphasis>&lt;moduledirectory</emphasis>&gt;/&lt;<emphasis>modulename</emphasis>&gt;.o.gz &lt;<emphasis>module parameters</emphasis>&gt;</programlisting>
 
     <para>Beginning with the 1.4.9 Shorewall release, the value of the
     MODULE_SUFFIX option in determines which files the loadmodule function
-    looks for if the named module doesn&#39;t exist. For each file
-    <emphasis>&#60;extension&#62;</emphasis> listed in MODULE_SUFFIX (default
-    &#34;o gz ko o.gz&#34;), the function will append a period (&#34;.&#34;)
-    and the extension and if the resulting file exists then the following
-    command will be executed:</para>
+    looks for if the named module doesn't exist. For each file
+    <emphasis>&lt;extension&gt;</emphasis> listed in MODULE_SUFFIX (default "o
+    gz ko o.gz"), the function will append a period (".") and the extension
+    and if the resulting file exists then the following command will be
+    executed:</para>
 
-    <programlisting>insmod <emphasis>moduledirectory</emphasis>/&#60;<emphasis>modulename</emphasis>&#62;.<emphasis>&#60;extension&#62;</emphasis> &#60;<emphasis>module parameters</emphasis>&#62;</programlisting>
+    <programlisting>insmod <emphasis>moduledirectory</emphasis>/&lt;<emphasis>modulename</emphasis>&gt;.<emphasis>&lt;extension&gt;</emphasis> &lt;<emphasis>module parameters</emphasis>&gt;</programlisting>
   </section>
 
   <section id="TOS" xreflabel="/etc/shorewall/tos">
@@ -2805,7 +3053,8 @@ LOGBURST=5</programlisting>
     <para>The <filename>/etc/shorewall/tos</filename> file allows you to set
     the Type of Service field in packet headers based on packet source, packet
     destination, protocol, source port and destination port. In order for this
-    file to be processed by Shorewall, you must have mangle support enabled.</para>
+    file to be processed by Shorewall, you must have mangle support
+    enabled.</para>
 
     <para>Entries in the file have the following columns:</para>
 
@@ -2816,11 +3065,11 @@ LOGBURST=5</programlisting>
         <listitem>
           <para>The source zone. May be qualified by following the zone name
           with a colon (<quote>:</quote>) and either an IP address, an IP
-          subnet, a MAC address <ulink url="configuration_file_basics.htm#MAC">in
-          Shorewall Format</ulink> or the name of an interface. This column
-          may also contain the name of the firewall zone to indicate packets
-          originating on the firewall itself or <quote>all</quote> to indicate
-          any source.</para>
+          subnet, a MAC address <ulink
+          url="configuration_file_basics.htm#MAC">in Shorewall Format</ulink>
+          or the name of an interface. This column may also contain the name
+          of the firewall zone to indicate packets originating on the firewall
+          itself or <quote>all</quote> to indicate any source.</para>
         </listitem>
       </varlistentry>
 
@@ -2840,8 +3089,8 @@ LOGBURST=5</programlisting>
         <term>PROTOCOL</term>
 
         <listitem>
-          <para>The name of a protocol in <filename>/etc/protocols </filename>or
-          the protocol&#39;s number.</para>
+          <para>The name of a protocol in <filename>/etc/protocols
+          </filename>or the protocol's number.</para>
         </listitem>
       </varlistentry>
 
@@ -2917,12 +3166,13 @@ all      all     tcp         ftp-data          -               8</programlisting
 
     <para>Packets <emphasis role="bold">from</emphasis> hosts listed in the
     blacklist file will be disposed of according to the value assigned to the
-    <link linkend="Conf">BLACKLIST_DISPOSITION</link> and <link linkend="Conf">BLACKLIST_LOGLEVEL</link>
-    variables in /etc/shorewall/shorewall.conf. Only packets arriving on
-    interfaces that have the <quote><link linkend="Interfaces">blacklist</link></quote>
-    option in <filename>/etc/shorewall/interfaces</filename> are checked
-    against the blacklist. The black list is designed to prevent listed
-    hosts/subnets from accessing services on <emphasis role="bold">your</emphasis>
+    <link linkend="Conf">BLACKLIST_DISPOSITION</link> and <link
+    linkend="Conf">BLACKLIST_LOGLEVEL</link> variables in
+    /etc/shorewall/shorewall.conf. Only packets arriving on interfaces that
+    have the <quote><link linkend="Interfaces">blacklist</link></quote> option
+    in <filename>/etc/shorewall/interfaces</filename> are checked against the
+    blacklist. The black list is designed to prevent listed hosts/subnets from
+    accessing services on <emphasis role="bold">your</emphasis>
     network.</para>
 
     <para>Beginning with Shorewall 1.3.8, the blacklist file has three
@@ -2955,7 +3205,8 @@ all      all     tcp         ftp-data          -               8</programlisting
           (from /etc/services). If present, only packets destined for the
           specified protocol and one of the listed ports are blocked. When the
           PROTOCOL is icmp, the PORTS column contains a comma-separated list
-          of ICMP type numbers or names (see <quote>iptables -h icmp</quote>).</para>
+          of ICMP type numbers or names (see <quote>iptables -h
+          icmp</quote>).</para>
         </listitem>
       </varlistentry>
     </variablelist>
@@ -2964,10 +3215,11 @@ all      all     tcp         ftp-data          -               8</programlisting
     blacklist capability</ulink>.</para>
 
     <important>
-      <para>The Shorewall blacklist file is <emphasis role="bold">NOT</emphasis>
-      designed to police your users&#39; web browsing -- to do that, I suggest
-      that you install and configure <ulink url="http://www.squid-cache.org">Squid</ulink>
-      with <ulink url="http://www.squidguard.org/">SquidGuard</ulink>.</para>
+      <para>The Shorewall blacklist file is <emphasis
+      role="bold">NOT</emphasis> designed to police your users' web browsing
+      -- to do that, I suggest that you install and configure <ulink
+      url="http://www.squid-cache.org">Squid</ulink> with <ulink
+      url="http://www.squidguard.org/">SquidGuard</ulink>.</para>
     </important>
   </section>
 
@@ -2999,7 +3251,8 @@ all      all     tcp         ftp-data          -               8</programlisting
               <term>RETURN</term>
 
               <listitem>
-                <para>Process the packet normally thru the rules and policies.</para>
+                <para>Process the packet normally thru the rules and
+                policies.</para>
               </listitem>
             </varlistentry>
 
@@ -3015,8 +3268,9 @@ all      all     tcp         ftp-data          -               8</programlisting
               <term>logdrop</term>
 
               <listitem>
-                <para>Log then drop the packet -- see the <link linkend="Conf">RFC1918_LOG_LEVEL</link>
-                parameter above.</para>
+                <para>Log then drop the packet -- see the <link
+                linkend="Conf">RFC1918_LOG_LEVEL</link> parameter
+                above.</para>
               </listitem>
             </varlistentry>
           </variablelist>
@@ -3024,9 +3278,9 @@ all      all     tcp         ftp-data          -               8</programlisting
       </varlistentry>
     </variablelist>
 
-    <para>If you want to modify this file, DO NOT MODIFY <filename>/usr/share/shorewall/rfc1918</filename>.
-    Rather copy that file to <filename>/etc/shorewall/rfc1918 </filename>and
-    modify the copy.</para>
+    <para>If you want to modify this file, DO NOT MODIFY
+    <filename>/usr/share/shorewall/rfc1918</filename>. Rather copy that file
+    to <filename>/etc/shorewall/rfc1918 </filename>and modify the copy.</para>
   </section>
 
   <section id="Bogons" xreflabel="/etc/shorewall/rfc1918">
@@ -3034,7 +3288,8 @@ all      all     tcp         ftp-data          -               8</programlisting
 
     <para>This file lists the subnets affected by the <link
     linkend="Interfaces">nobogons interface option</link> and <link
-    linkend="Hosts">nobogons hosts option</link>. Columns in the file are:</para>
+    linkend="Hosts">nobogons hosts option</link>. Columns in the file
+    are:</para>
 
     <variablelist>
       <varlistentry>
@@ -3056,7 +3311,8 @@ all      all     tcp         ftp-data          -               8</programlisting
               <term>RETURN</term>
 
               <listitem>
-                <para>Process the packet normally thru the rules and policies.</para>
+                <para>Process the packet normally thru the rules and
+                policies.</para>
               </listitem>
             </varlistentry>
 
@@ -3072,8 +3328,8 @@ all      all     tcp         ftp-data          -               8</programlisting
               <term>logdrop</term>
 
               <listitem>
-                <para>Log then drop the packet -- see the <link linkend="Conf">BOGONS_LOG_LEVEL</link>
-                parameter above.</para>
+                <para>Log then drop the packet -- see the <link
+                linkend="Conf">BOGONS_LOG_LEVEL</link> parameter above.</para>
               </listitem>
             </varlistentry>
           </variablelist>
@@ -3081,16 +3337,17 @@ all      all     tcp         ftp-data          -               8</programlisting
       </varlistentry>
     </variablelist>
 
-    <para>If you want to modify this file, DO NOT MODIFY <filename>/usr/share/shorewall/bogons</filename>.
-    Rather copy that file to <filename>/etc/shorewall/bogons </filename>and
-    modify the copy.</para>
+    <para>If you want to modify this file, DO NOT MODIFY
+    <filename>/usr/share/shorewall/bogons</filename>. Rather copy that file to
+    <filename>/etc/shorewall/bogons </filename>and modify the copy.</para>
   </section>
 
   <section id="Netmap">
     <title>/etc/shorewall/netmap (Added in Version 2.0.1)</title>
 
-    <para>Network mapping is defined using the <filename>/etc/shorewall/netmap</filename>
-    file. Columns in this file are:</para>
+    <para>Network mapping is defined using the
+    <filename>/etc/shorewall/netmap</filename> file. Columns in this file
+    are:</para>
 
     <variablelist>
       <varlistentry>
@@ -3100,12 +3357,12 @@ all      all     tcp         ftp-data          -               8</programlisting
           <para>Must be DNAT or SNAT.</para>
 
           <para>If DNAT, traffic entering INTERFACE and addressed to NET1 has
-          it&#39;s destination address rewritten to the corresponding address
-          in NET2.</para>
+          it's destination address rewritten to the corresponding address in
+          NET2.</para>
 
           <para>If SNAT, traffic leaving INTERFACE with a source address in
-          NET1 has it&#39;s source address rewritten to the corresponding
-          address in NET2.</para>
+          NET1 has it's source address rewritten to the corresponding address
+          in NET2.</para>
         </listitem>
       </varlistentry>
 
@@ -3113,7 +3370,8 @@ all      all     tcp         ftp-data          -               8</programlisting
         <term>NET1</term>
 
         <listitem>
-          <para>Must be expressed in CIDR format (e.g., 192.168.1.0/24).</para>
+          <para>Must be expressed in CIDR format (e.g.,
+          192.168.1.0/24).</para>
         </listitem>
       </varlistentry>
 
@@ -3122,7 +3380,8 @@ all      all     tcp         ftp-data          -               8</programlisting
 
         <listitem>
           <para>A firewall interface. This interface must have been defined in
-          <ulink url="Documentation.htm#Interfaces"><filename>/etc/shorewall/interfaces</filename></ulink>.</para>
+          <ulink
+          url="Documentation.htm#Interfaces"><filename>/etc/shorewall/interfaces</filename></ulink>.</para>
         </listitem>
       </varlistentry>
 
@@ -3200,15 +3459,108 @@ eth1                -</programlisting>
   <appendix>
     <title>Revision History</title>
 
-    <para><revhistory><revision><revnumber>1.16</revnumber><date>2004-03-17</date><authorinitials>TE</authorinitials><revremark>Clarified
-    LOGBURST and LOGLIMIT.</revremark></revision><revision><revnumber>1.15</revnumber><date>2004-02-16</date><authorinitials>TE</authorinitials><revremark>Move
-    the rfc1918 file to /usr/share/shorewall.</revremark></revision><revision><revnumber>1.14</revnumber><date>2004-02-13</date><authorinitials>TE</authorinitials><revremark>Add
-    a note about the order of rules.</revremark></revision><revision><revnumber>1.13</revnumber><date>2004-02-03</date><authorinitials>TE</authorinitials><revremark>Update
-    for Shorewall 2.0.</revremark></revision><revision><revnumber>1.12</revnumber><date>2004-01-21</date><authorinitials>TE</authorinitials><revremark>Add
-    masquerade destination list.</revremark></revision><revision><revnumber>1.12</revnumber><date>2004-01-18</date><authorinitials>TE</authorinitials><revremark>Correct
-    typo.</revremark></revision><revision><revnumber>1.11</revnumber><date>2004-01-05</date><authorinitials>TE</authorinitials><revremark>Standards
-    Compliance</revremark></revision><revision><revnumber>1.10</revnumber><date>2004-01-05</date><authorinitials>TE</authorinitials><revremark>Improved
-    formatting of DNAT- and REDIRECT- for clarity</revremark></revision><revision><revnumber>1.9</revnumber><date>2003-12-25</date><authorinitials>MN</authorinitials><revremark>Initial
-    Docbook Conversion Complete</revremark></revision></revhistory></para>
+    <para><revhistory>
+        <revision>
+          <revnumber>1.17</revnumber>
+
+          <date>2004-04-05</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Update for Shorewall 2.0.2</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.16</revnumber>
+
+          <date>2004-03-17</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Clarified LOGBURST and LOGLIMIT.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.15</revnumber>
+
+          <date>2004-02-16</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Move the rfc1918 file to
+          /usr/share/shorewall.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.14</revnumber>
+
+          <date>2004-02-13</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Add a note about the order of rules.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.13</revnumber>
+
+          <date>2004-02-03</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Update for Shorewall 2.0.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.12</revnumber>
+
+          <date>2004-01-21</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Add masquerade destination list.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.12</revnumber>
+
+          <date>2004-01-18</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Correct typo.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.11</revnumber>
+
+          <date>2004-01-05</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Standards Compliance</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.10</revnumber>
+
+          <date>2004-01-05</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Improved formatting of DNAT- and REDIRECT- for
+          clarity</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.9</revnumber>
+
+          <date>2003-12-25</date>
+
+          <authorinitials>MN</authorinitials>
+
+          <revremark>Initial Docbook Conversion Complete</revremark>
+        </revision>
+      </revhistory></para>
   </appendix>
 </article>
\ No newline at end of file
diff --git a/Shorewall-docs2/Documentation_Index.xml b/Shorewall-docs2/Documentation_Index.xml
index 90e80114b..4b6a2229a 100644
--- a/Shorewall-docs2/Documentation_Index.xml
+++ b/Shorewall-docs2/Documentation_Index.xml
@@ -64,7 +64,7 @@
   Please review the appropriate guide before trying to use this documentation
   directly.</para>
 
-  <itemizedlist>
+  <orderedlist>
     <listitem>
       <para><ulink url="Accounting.html">Accounting</ulink></para>
     </listitem>
@@ -391,5 +391,5 @@
     <listitem>
       <para><ulink url="whitelisting_under_shorewall.htm">White List Creation</ulink></para>
     </listitem>
-  </itemizedlist>
+  </orderedlist>
 </article>
\ No newline at end of file
diff --git a/Shorewall-docs2/FAQ.xml b/Shorewall-docs2/FAQ.xml
index 50e9c792b..98a677de4 100644
--- a/Shorewall-docs2/FAQ.xml
+++ b/Shorewall-docs2/FAQ.xml
@@ -17,7 +17,7 @@
       </author>
     </authorgroup>
 
-    <pubdate>2004-03-05</pubdate>
+    <pubdate>2004-05-04</pubdate>
 
     <copyright>
       <year>2001-2004</year>
@@ -31,7 +31,8 @@
       1.2 or any later version published by the Free Software Foundation; with
       no Invariant Sections, with no Front-Cover, and with no Back-Cover
       Texts. A copy of the license is included in the section entitled
-      <quote><ulink url="GnuCopyright.htm">GNU Free Documentation License</ulink></quote>.</para>
+      <quote><ulink url="GnuCopyright.htm">GNU Free Documentation
+      License</ulink></quote>.</para>
     </legalnotice>
   </articleinfo>
 
@@ -52,8 +53,8 @@
 
     <section id="faq1">
       <title>(FAQ 1) I want to forward UDP port 7777 to my my personal PC with
-      IP address 192.168.1.5. I&#39;ve looked everywhere and can&#39;t find
-      how to do it.</title>
+      IP address 192.168.1.5. I've looked everywhere and can't find how to do
+      it.</title>
 
       <para><emphasis role="bold">Answer:</emphasis> The first example in the
       <ulink url="Documentation.htm#Rules">rules file documentation</ulink>
@@ -61,7 +62,7 @@
       port-forwarding rule to a local system is as follows:</para>
 
       <programlisting>#ACTION    SOURCE      DEST                                   PROTO        DEST PORT
-DNAT       net         loc:&#60;l<emphasis>ocal IP address</emphasis>&#62;[:&#60;<emphasis>local port</emphasis>&#62;]  &#60;<emphasis>protocol</emphasis>&#62;   &#60;<emphasis>port #</emphasis>&#62;</programlisting>
+DNAT       net         loc:&lt;l<emphasis>ocal IP address</emphasis>&gt;[:&lt;<emphasis>local port</emphasis>&gt;]  &lt;<emphasis>protocol</emphasis>&gt;   &lt;<emphasis>port #</emphasis>&gt;</programlisting>
 
       <para>So to forward UDP port 7777 to internal system 192.168.1.5, the
       rule is:</para>
@@ -70,18 +71,19 @@ DNAT       net         loc:&#60;l<emphasis>ocal IP address</emphasis>&#62;[:&#60
 DNAT       net      loc:192.168.1.5  udp      7777</programlisting>
 
       <para>If you want to forward requests directed to a particular address (
-      <emphasis>&#60;external IP&#62;</emphasis> ) on your firewall to an
+      <emphasis>&lt;external IP&gt;</emphasis> ) on your firewall to an
       internal system:</para>
 
       <programlisting>#ACTION SOURCE DEST                                   PROTO       DEST PORT  SOURCE  ORIGINAL
 #                                                                            PORT    DEST.
-DNAT    net    loc:&#60;l<emphasis>ocal IP address</emphasis>&#62;[:&#60;<emphasis>local port</emphasis>&#62;]  &#60;<emphasis>protocol</emphasis>&#62;  &#60;<emphasis>port #</emphasis>&#62;   -       &#60;<emphasis>external IP</emphasis>&#62;</programlisting>
+DNAT    net    loc:&lt;l<emphasis>ocal IP address</emphasis>&gt;[:&lt;<emphasis>local port</emphasis>&gt;]  &lt;<emphasis>protocol</emphasis>&gt;  &lt;<emphasis>port #</emphasis>&gt;   -       &lt;<emphasis>external IP</emphasis>&gt;</programlisting>
 
       <para>Finally, if you need to forward a range of ports, in the PORT
-      column specify the range as <emphasis>&#60;low-port&#62;:&#60;high-port&#62;</emphasis>.</para>
+      column specify the range as
+      <emphasis>&lt;low-port&gt;:&lt;high-port&gt;</emphasis>.</para>
 
       <section id="faq1a">
-        <title>(FAQ 1a) Ok -- I followed those instructions but it doesn&#39;t
+        <title>(FAQ 1a) Ok -- I followed those instructions but it doesn't
         work</title>
 
         <para><emphasis role="bold">Answer:</emphasis> That is usually the
@@ -90,14 +92,14 @@ DNAT    net    loc:&#60;l<emphasis>ocal IP address</emphasis>&#62;[:&#60;<emphas
         <itemizedlist>
           <listitem>
             <para>You are trying to test from inside your firewall (no, that
-            won&#39;t work -- see <xref linkend="faq2" />).</para>
+            won't work -- see <xref linkend="faq2" />).</para>
           </listitem>
 
           <listitem>
             <para>You have a more basic problem with your local system (the
             one that you are trying to forward to) such as an incorrect
             default gateway (it should be set to the IP address of your
-            firewall&#39;s internal interface).</para>
+            firewall's internal interface).</para>
           </listitem>
 
           <listitem>
@@ -107,40 +109,42 @@ DNAT    net    loc:&#60;l<emphasis>ocal IP address</emphasis>&#62;[:&#60;<emphas
           <listitem>
             <para>You are running Mandrake Linux and have configured Internet
             Connection Sharing. In that case, the name of your local zone is
-            &#39;masq&#39; rather than &#39;loc&#39; (change all instances of
-            &#39;loc&#39; to &#39;masq&#39; in your rules). You may want to
-            consider re-installing Shorewall in a configuration which matches
-            the Shorewall documentation. See the <ulink
-            url="two-interface.htm">two-interface QuickStart Guide</ulink> for
-            details.</para>
+            'masq' rather than 'loc' (change all instances of 'loc' to 'masq'
+            in your rules). You may want to consider re-installing Shorewall
+            in a configuration which matches the Shorewall documentation. See
+            the <ulink url="two-interface.htm">two-interface QuickStart
+            Guide</ulink> for details.</para>
           </listitem>
         </itemizedlist>
       </section>
 
       <section id="faq1b">
-        <title>(FAQ 1b) I&#39;m still having problems with port forwarding</title>
+        <title>(FAQ 1b) I'm still having problems with port forwarding</title>
 
         <para><emphasis role="bold">Answer:</emphasis> To further diagnose
         this problem:</para>
 
         <itemizedlist>
           <listitem>
-            <para>As root, type <quote><command>iptables -t nat -Z</command></quote>.
-            This clears the NetFilter counters in the nat table.</para>
+            <para>As root, type <quote><command>iptables -t nat
+            -Z</command></quote>. This clears the NetFilter counters in the
+            nat table.</para>
           </listitem>
 
           <listitem>
-            <para>Try to connect to the redirected port from an external host.</para>
+            <para>Try to connect to the redirected port from an external
+            host.</para>
           </listitem>
 
           <listitem>
-            <para>As root type <quote><command>shorewall show nat</command></quote></para>
+            <para>As root type <quote><command>shorewall show
+            nat</command></quote></para>
           </listitem>
 
           <listitem>
             <para>Locate the appropriate DNAT rule. It will be in a chain
-            called <emphasis>&#60;source zone&#62;</emphasis>_dnat (<quote>net_dnat</quote>
-            in the above examples).</para>
+            called <emphasis>&lt;source zone&gt;</emphasis>_dnat
+            (<quote>net_dnat</quote> in the above examples).</para>
           </listitem>
 
           <listitem>
@@ -149,7 +153,7 @@ DNAT    net    loc:&#60;l<emphasis>ocal IP address</emphasis>&#62;[:&#60;<emphas
             redirected to the server. In this case, the problem is usually a
             missing or incorrect default gateway setting on the local system
             (the system you are trying to forward to -- its default gateway
-            should be the IP address of the firewall&#39;s interface to that
+            should be the IP address of the firewall's interface to that
             system).</para>
           </listitem>
 
@@ -166,12 +170,13 @@ DNAT    net    loc:&#60;l<emphasis>ocal IP address</emphasis>&#62;[:&#60;<emphas
                 <para>you are trying to connect to a secondary IP address on
                 your firewall and your rule is only redirecting the primary IP
                 address (You need to specify the secondary IP address in the
-                <quote>ORIG. DEST.</quote> column in your DNAT rule); or</para>
+                <quote>ORIG. DEST.</quote> column in your DNAT rule);
+                or</para>
               </listitem>
 
               <listitem>
-                <para>your DNAT rule doesn&#39;t match the connection request
-                in some other way. In that case, you may have to use a packet
+                <para>your DNAT rule doesn't match the connection request in
+                some other way. In that case, you may have to use a packet
                 sniffer such as tcpdump or ethereal to further diagnose the
                 problem.</para>
               </listitem>
@@ -193,8 +198,8 @@ DNAT       net      loc:192.168.3:22  tcp      1022</programlisting>
     </section>
 
     <section id="faq30">
-      <title>(FAQ 30) I&#39;m confused about when to use DNAT rules and when
-      to use ACCEPT rules.</title>
+      <title>(FAQ 30) I'm confused about when to use DNAT rules and when to
+      use ACCEPT rules.</title>
 
       <para>It would be a good idea to review the <ulink
       url="shorewall_quickstart_guide.htm">QuickStart Guide</ulink>
@@ -216,7 +221,7 @@ DNAT       net      loc:192.168.3:22  tcp      1022</programlisting>
       <title>(FAQ 2) I port forward www requests to www.mydomain.com (IP
       130.151.100.69) to system 192.168.1.5 in my local network. External
       clients can browse http://www.mydomain.com but internal clients
-      can&#39;t.</title>
+      can't.</title>
 
       <para><emphasis role="bold">Answer:</emphasis> I have two objections to
       this setup.</para>
@@ -225,7 +230,7 @@ DNAT       net      loc:192.168.3:22  tcp      1022</programlisting>
         <listitem>
           <para>Having an internet-accessible server in your local network is
           like raising foxes in the corner of your hen house. If the server is
-          compromised, there&#39;s nothing between that server and your other
+          compromised, there's nothing between that server and your other
           internal systems. For the cost of another NIC and a cross-over
           cable, you can put your server in a DMZ such that it is isolated
           from your local systems - assuming that the Server can be located
@@ -234,11 +239,11 @@ DNAT       net      loc:192.168.3:22  tcp      1022</programlisting>
 
         <listitem>
           <para>The accessibility problem is best solved using <ulink
-          url="shorewall_setup_guide.htm#DNS">Bind Version 9 <quote>views</quote></ulink>
-          (or using a separate DNS server for local clients) such that
-          www.mydomain.com resolves to 130.141.100.69 externally and
-          192.168.1.5 internally. That&#39;s what I do here at shorewall.net
-          for my local systems that use one-to-one NAT.</para>
+          url="shorewall_setup_guide.htm#DNS">Bind Version 9
+          <quote>views</quote></ulink> (or using a separate DNS server for
+          local clients) such that www.mydomain.com resolves to 130.141.100.69
+          externally and 192.168.1.5 internally. That's what I do here at
+          shorewall.net for my local systems that use one-to-one NAT.</para>
         </listitem>
       </itemizedlist>
 
@@ -254,9 +259,11 @@ DNAT       net      loc:192.168.3:22  tcp      1022</programlisting>
       <para>If you are running Shorewall 1.4.1 or Shorewall 1.4.1a, please
       upgrade to Shorewall 1.4.2 or later.</para>
 
-      <para>Otherwise:<warning><para>In this configuration, all loc-&#62;loc
-      traffic will look to the server as if it came from the firewall rather
-      than from the original client!</para></warning></para>
+      <para>Otherwise:<warning>
+          <para>In this configuration, all loc-&gt;loc traffic will look to
+          the server as if it came from the firewall rather than from the
+          original client!</para>
+        </warning></para>
 
       <itemizedlist>
         <listitem>
@@ -267,23 +274,25 @@ loc      eth1         detect       <emphasis role="bold">routeback</emphasis></p
         </listitem>
 
         <listitem>
-          <para>In <filename>/etc/shorewall/rules</filename>:</para>
+          <para>In <filename>/etc/shorewall/rules</filename> (Assuming that
+          your local network is 192.168.1.0/24):</para>
 
-          <programlisting>#ACTION    SOURCE  DEST               PROTO    DEST PORT   SOURCE    ORIGINAL
-#                                                          PORT      DEST.
-DNAT       loc     loc:192.168.1.5    tcp      www         -         130.151.100.69:192.168.1.254</programlisting>
+          <programlisting>#ACTION    SOURCE                 DEST               PROTO    DEST PORT   SOURCE    ORIGINAL
+#                                                                         PORT      DEST.
+DNAT       loc:192.168.1.0/24     loc:192.168.1.5    tcp      www         -         130.151.100.69:192.168.1.254</programlisting>
 
           <para>That rule only works of course if you have a static external
           IP address. If you have a dynamic IP address and are running
-          Shorewall 1.3.4 or later then include this in <filename>/etc/shorewall/init</filename>:</para>
+          Shorewall 1.3.4 or later then include this in
+          <filename>/etc/shorewall/init</filename>:</para>
 
           <programlisting><command>ETH0_IP=`find_interface_address eth0`</command></programlisting>
 
           <para>and make your DNAT rule:</para>
 
-          <programlisting>#ACTION    SOURCE  DEST               PROTO    DEST PORT   SOURCE    ORIGINAL
-#                                                          PORT      DEST.
-DNAT       loc     loc:192.168.1.5    tcp      www         -         $ETH0_IP:192.168.1.254</programlisting>
+          <programlisting>#ACTION    SOURCE                 DEST               PROTO    DEST PORT   SOURCE    ORIGINAL
+#                                                                         PORT      DEST.
+DNAT       loc:192.168.1.0/24     loc:192.168.1.5    tcp      www         -         $ETH0_IP:192.168.1.254</programlisting>
 
           <para>Using this technique, you will want to configure your
           DHCP/PPPoE client to automatically restart Shorewall each time that
@@ -295,14 +304,14 @@ DNAT       loc     loc:192.168.1.5    tcp      www         -         $ETH0_IP:19
         <title>(FAQ 2a) I have a zone <quote>Z</quote> with an RFC1918 subnet
         and I use one-to-one NAT to assign non-RFC1918 addresses to hosts in
         Z. Hosts in Z cannot communicate with each other using their external
-        (non-RFC1918 addresses) so they can&#39;t access each other using
-        their DNS names.</title>
+        (non-RFC1918 addresses) so they can't access each other using their
+        DNS names.</title>
 
         <note>
           <para>If the ALL INTERFACES column in /etc/shorewall/nat is empty or
           contains <quote>Yes</quote>, you will also see log messages like the
           following when trying to access a host in Z from another host in Z
-          using the destination hosts&#39;s public address:</para>
+          using the destination hosts's public address:</para>
 
           <programlisting>Oct 4 10:26:40 netgw kernel:
           Shorewall:FORWARD:REJECT:IN=eth1 OUT=eth1 SRC=192.168.118.200
@@ -313,19 +322,19 @@ DNAT       loc     loc:192.168.1.5    tcp      www         -         $ETH0_IP:19
         <para><emphasis role="bold">Answer:</emphasis> This is another problem
         that is best solved using Bind Version 9 <quote>views</quote>. It
         allows both external and internal clients to access a NATed host using
-        the host&#39;s DNS name.</para>
+        the host's DNS name.</para>
 
         <para>Another good way to approach this problem is to switch from
         one-to-one NAT to Proxy ARP. That way, the hosts in Z have non-RFC1918
         addresses and can be accessed externally and internally using the same
         address.</para>
 
-        <para>If you don&#39;t like those solutions and prefer routing all
-        Z-&#62;Z traffic through your firewall then:</para>
+        <para>If you don't like those solutions and prefer routing all Z-&gt;Z
+        traffic through your firewall then:</para>
 
         <orderedlist>
           <listitem>
-            <para>Set the Z-&#62;Z policy to ACCEPT.</para>
+            <para>Set the Z-&gt;Z policy to ACCEPT.</para>
           </listitem>
 
           <listitem>
@@ -341,7 +350,7 @@ DNAT       loc     loc:192.168.1.5    tcp      www         -         $ETH0_IP:19
             <quote>Yes</quote>.</para>
 
             <warning>
-              <para>In this configuration, all Z-&#62;Z traffic will look to
+              <para>In this configuration, all Z-&gt;Z traffic will look to
               the server as if it came from the firewall rather than from the
               original client! I DO NOT RECOMMEND THIS SETUP.</para>
             </warning>
@@ -389,13 +398,13 @@ eth2             192.168.2.0/24</programlisting>
       following:</para>
 
       <blockquote>
-        <para>&#62; I know PoM -ng is going to address this issue, but till it
-        is ready, and &#62; all the extras are ported to it, is there any way
-        to use the h.323 &#62; contrack module kernel patch with a 2.6 kernel?
-        &#62; Running 2.6.1 - no 2.4 kernel stuff on the system, so downgrade
-        is not &#62; an option... The module is not ported yet to 2.6, sorry.
-        &#62; Do I have any options besides a gatekeeper app (does not work in
-        my &#62; network) or a proxy (would prefer to avoid them)? I suggest
+        <para>&gt; I know PoM -ng is going to address this issue, but till it
+        is ready, and &gt; all the extras are ported to it, is there any way
+        to use the h.323 &gt; contrack module kernel patch with a 2.6 kernel?
+        &gt; Running 2.6.1 - no 2.4 kernel stuff on the system, so downgrade
+        is not &gt; an option... The module is not ported yet to 2.6, sorry.
+        &gt; Do I have any options besides a gatekeeper app (does not work in
+        my &gt; network) or a proxy (would prefer to avoid them)? I suggest
         everyone to setup a proxy (gatekeeper) instead: the module is really
         dumb and does not deserve to exist at all. It was an excellent tool to
         debug/develop the newnat interface.</para>
@@ -404,7 +413,8 @@ eth2             192.168.2.0/24</programlisting>
       <para>Look <ulink url="http://linux-igd.sourceforge.net">here</ulink>
       for a solution for MSN IM but be aware that there are significant
       security risks involved with this solution. Also check the Netfilter
-      mailing list archives at <ulink url="http://www.netfilter.org">http://www.netfilter.org</ulink>.</para>
+      mailing list archives at <ulink
+      url="http://www.netfilter.org">http://www.netfilter.org</ulink>.</para>
     </section>
   </section>
 
@@ -428,14 +438,15 @@ eth2             192.168.2.0/24</programlisting>
       cuts down slightly on the amount of Windows chatter on LAN segments
       connected to the Firewall.</para>
 
-      <para>If you are seeing port 80 being <quote>closed</quote>, that&#39;s
+      <para>If you are seeing port 80 being <quote>closed</quote>, that's
       probably your ISP preventing you from running a web server in violation
       of your Service Agreement.</para>
 
       <tip>
         <para>You can change the default behavior of Shorewall through use of
         an /etc/shorewall/common file. See the <ulink
-        url="shorewall_extension_scripts.htm">Extension Script Section</ulink>.</para>
+        url="shorewall_extension_scripts.htm">Extension Script
+        Section</ulink>.</para>
       </tip>
 
       <tip>
@@ -450,14 +461,16 @@ eth2             192.168.2.0/24</programlisting>
       the default policy to all zone from the internet is DROP. The Drop
       action is defined in <filename>/etc/shorewall/action.Drop</filename>
       which in turn invokes the <emphasis role="bold">RejectAuth</emphasis>
-      action (defined in <filename>/etc/shorewall/action.RejectAuth</filename>).
-      This is necessary to prevent outgoing connection problems to services
-      that use the <quote>Auth</quote> mechanism for identifying requesting
-      users. That is the only service which the default setup rejects.</para>
+      action (defined in
+      <filename>/etc/shorewall/action.RejectAuth</filename>). This is
+      necessary to prevent outgoing connection problems to services that use
+      the <quote>Auth</quote> mechanism for identifying requesting users. That
+      is the only service which the default setup rejects.</para>
 
       <para>If you are seeing closed TCP ports other than 113 (auth) then
       either you have added rules to REJECT those ports or a router outside of
-      your firewall is responding to connection requests on those ports.</para>
+      your firewall is responding to connection requests on those
+      ports.</para>
 
       <section id="faq4a">
         <title>(FAQ 4a) I just ran an nmap UDP scan of my firewall and it
@@ -467,12 +480,12 @@ eth2             192.168.2.0/24</programlisting>
         read the nmap man page section about UDP scans. If nmap gets <emphasis
         role="bold">nothing</emphasis> back from your firewall then it reports
         the port as open. If you want to see which UDP ports are really open,
-        temporarily change your net-&#62;all policy to REJECT, restart
+        temporarily change your net-&gt;all policy to REJECT, restart
         Shorewall and do the nmap UDP scan again.</para>
       </section>
 
       <section id="faq4b">
-        <title>(FAQ 4b) I have a port that I can&#39;t close no matter how I
+        <title>(FAQ 4b) I have a port that I can't close no matter how I
         change my rules.</title>
 
         <para>I had a rule that allowed telnet from my local network to my
@@ -490,8 +503,9 @@ eth2             192.168.2.0/24</programlisting>
         <title>(FAQ 4c) How to I use Shorewall with PortSentry?</title>
 
         <para><ulink
-        url="http://www.shorewall.net/pub/shorewall/contrib/PortsentryHOWTO.txt">Here&#39;s
-        a writeup</ulink> on a nice integration of Shorewall and PortSentry.</para>
+        url="http://www.shorewall.net/pub/shorewall/contrib/PortsentryHOWTO.txt">Here's
+        a writeup</ulink> on a nice integration of Shorewall and
+        PortSentry.</para>
       </section>
     </section>
   </section>
@@ -500,8 +514,8 @@ eth2             192.168.2.0/24</programlisting>
     <title>Connection Problems</title>
 
     <section id="faq5">
-      <title>(FAQ 5) I&#39;ve installed Shorewall and now I can&#39;t ping
-      through the firewall</title>
+      <title>(FAQ 5) I've installed Shorewall and now I can't ping through the
+      firewall</title>
 
       <para><emphasis role="bold">Answer:</emphasis> If you want your firewall
       to be totally open for <quote>ping</quote>,</para>
@@ -509,7 +523,7 @@ eth2             192.168.2.0/24</programlisting>
       <orderedlist>
         <listitem>
           <para>Create <filename>/etc/shorewall/common</filename> if it
-          doesn&#39;t already exist.</para>
+          doesn't already exist.</para>
         </listitem>
 
         <listitem>
@@ -518,7 +532,8 @@ eth2             192.168.2.0/24</programlisting>
         </listitem>
 
         <listitem>
-          <para>Add the following to <filename>/etc/shorewall/common</filename></para>
+          <para>Add the following to
+          <filename>/etc/shorewall/common</filename></para>
 
           <programlisting><command>run_iptables -A icmpdef -p ICMP --icmp-type echo-request -j ACCEPT</command></programlisting>
         </listitem>
@@ -529,18 +544,18 @@ eth2             192.168.2.0/24</programlisting>
     </section>
 
     <section id="faq15">
-      <title>(FAQ 15) My local systems can&#39;t see out to the net</title>
+      <title>(FAQ 15) My local systems can't see out to the net</title>
 
       <para><emphasis role="bold">Answer:</emphasis> Every time I read
-      <quote>systems can&#39;t see out to the net</quote>, I wonder where the
+      <quote>systems can't see out to the net</quote>, I wonder where the
       poster bought computers with eyes and what those computers will
       <quote>see</quote> when things are working properly. That aside, the
       most common causes of this problem are:</para>
 
       <orderedlist>
         <listitem>
-          <para>The default gateway on each local system isn&#39;t set to the
-          IP address of the local firewall interface.</para>
+          <para>The default gateway on each local system isn't set to the IP
+          address of the local firewall interface.</para>
         </listitem>
 
         <listitem>
@@ -550,32 +565,34 @@ eth2             192.168.2.0/24</programlisting>
 
         <listitem>
           <para>The DNS settings on the local systems are wrong or the user is
-          running a DNS server on the firewall and hasn&#39;t enabled UDP and
-          TCP port 53 from the firewall to the internet.</para>
+          running a DNS server on the firewall and hasn't enabled UDP and TCP
+          port 53 from the firewall to the internet.</para>
         </listitem>
       </orderedlist>
     </section>
 
     <section id="faq29">
-      <title>(FAQ 29) FTP Doesn&#39;t Work</title>
+      <title>(FAQ 29) FTP Doesn't Work</title>
 
-      <para>See the <ulink url="FTP.html">Shorewall and FTP page</ulink>.</para>
+      <para>See the <ulink url="FTP.html">Shorewall and FTP
+      page</ulink>.</para>
     </section>
 
     <section id="faq33">
       <title>(FAQ 33) From clients behind the firewall, connections to some
       sites fail. Connections to the same sites from the firewall itself work
-      fine. What&#39;s wrong.</title>
+      fine. What's wrong.</title>
 
       <para><emphasis role="bold">Answer</emphasis>: Most likely, you need to
-      set CLAMPMSS=Yes in <ulink url="Documentation.htm#Conf">/etc/shorewall/shorewall.conf</ulink>.</para>
+      set CLAMPMSS=Yes in <ulink
+      url="Documentation.htm#Conf">/etc/shorewall/shorewall.conf</ulink>.</para>
     </section>
 
     <section id="faq35">
       <title>(FAQ 35) I have two Ethernet interfaces to my local network which
-      I have bridged. When Shorewall is started, I&#39;m unable to pass
-      traffic through the bridge. I have defined the bridge interface (br0) as
-      the local interface in /etc/shorewall/interfaces; the bridged Ethernet
+      I have bridged. When Shorewall is started, I'm unable to pass traffic
+      through the bridge. I have defined the bridge interface (br0) as the
+      local interface in /etc/shorewall/interfaces; the bridged Ethernet
       interfaces are not defined to Shorewall. How do I tell Shorewall to
       allow traffic through the bridge?</title>
 
@@ -593,37 +610,39 @@ eth2             192.168.2.0/24</programlisting>
       the destination?</title>
 
       <para><emphasis role="bold">Answer:</emphasis> NetFilter uses the
-      kernel&#39;s equivalent of syslog (see <quote>man syslog</quote>) to log
-      messages. It always uses the LOG_KERN (kern) facility (see
-      <quote>man openlog</quote>) and you get to choose the log level (again,
-      see <quote>man syslog</quote>) in your <ulink
+      kernel's equivalent of syslog (see <quote>man syslog</quote>) to log
+      messages. It always uses the LOG_KERN (kern) facility (see <quote>man
+      openlog</quote>) and you get to choose the log level (again, see
+      <quote>man syslog</quote>) in your <ulink
       url="Documentation.htm#Policy">policies</ulink> and <ulink
       url="Documentation.htm#Rules">rules</ulink>. The destination for
-      messaged logged by syslog is controlled by <filename>/etc/syslog.conf</filename>
-      (see <quote>man syslog.conf</quote>). When you have changed
-      /etc/syslog.conf, be sure to restart syslogd (on a RedHat system,
-      <quote>service syslog restart</quote>).</para>
+      messaged logged by syslog is controlled by
+      <filename>/etc/syslog.conf</filename> (see <quote>man
+      syslog.conf</quote>). When you have changed /etc/syslog.conf, be sure to
+      restart syslogd (on a RedHat system, <quote>service syslog
+      restart</quote>).</para>
 
       <para>By default, older versions of Shorewall ratelimited log messages
       through <ulink url="Documentation.htm#Conf">settings</ulink> in
       <filename>/etc/shorewall/shorewall.conf</filename> -- If you want to log
       all messages, set:</para>
 
-      <programlisting>LOGLIMIT=&#34;&#34;
-LOGBURST=&#34;&#34;</programlisting>
+      <programlisting>LOGLIMIT=""
+LOGBURST=""</programlisting>
 
       <para>Beginning with Shorewall version 1.3.12, you can <ulink
       url="shorewall_logging.html">set up Shorewall to log all of its messages
       to a separate file</ulink>.</para>
 
       <section id="faq6a">
-        <title>(FAQ 6a) Are there any log parsers that work with Shorewall?</title>
+        <title>(FAQ 6a) Are there any log parsers that work with
+        Shorewall?</title>
 
         <para><emphasis role="bold">Answer:</emphasis> Here are several links
         that may be helpful:</para>
 
         <literallayout><ulink
-url="http://www.shorewall.net/pub/shorewall/parsefw/">http://www.shorewall.net/pub/shorewall/parsefw/</ulink>
+            url="http://www.shorewall.net/pub/shorewall/parsefw/">http://www.shorewall.net/pub/shorewall/parsefw/</ulink>
 <ulink url="http://www.fireparse.com">http://www.fireparse.com</ulink>
 <ulink url="http://cert.uni-stuttgart.de/projects/fwlogwatch">http://cert.uni-stuttgart.de/projects/fwlogwatch</ulink>
 <ulink url="http://www.logwatch.org">http://www.logwatch.org</ulink>
@@ -713,10 +732,23 @@ url="http://www.shorewall.net/pub/shorewall/parsefw/">http://www.shorewall.net/p
           </listitem>
         </itemizedlist>
 
-        <para><example><title>Example</title><para><programlisting>MAC=00:04:4c:dc:e2:28:00:b0:8e:cf:3c:4c:08:00</programlisting><itemizedlist><listitem><para>Destination
-        MAC address = 00:04:4c:dc:e2:28</para></listitem><listitem><para>Source
-        MAC address = 00:b0:8e:cf:3c:4c</para></listitem><listitem><para>Ethernet
-        Frame Type = 08:00 (IP Version 4)</para></listitem></itemizedlist></para></example></para>
+        <para><example>
+            <title>Example</title>
+
+            <para><programlisting>MAC=00:04:4c:dc:e2:28:00:b0:8e:cf:3c:4c:08:00</programlisting><itemizedlist>
+                <listitem>
+                  <para>Destination MAC address = 00:04:4c:dc:e2:28</para>
+                </listitem>
+
+                <listitem>
+                  <para>Source MAC address = 00:b0:8e:cf:3c:4c</para>
+                </listitem>
+
+                <listitem>
+                  <para>Ethernet Frame Type = 08:00 (IP Version 4)</para>
+                </listitem>
+              </itemizedlist></para>
+          </example></para>
       </section>
     </section>
 
@@ -725,22 +757,23 @@ url="http://www.shorewall.net/pub/shorewall/parsefw/">http://www.shorewall.net/p
       making it unusable!</title>
 
       <para><emphasis role="bold">Answer:</emphasis> If you are running
-      Shorewall version 1.4.4 or 1.4.4a then check the <ulink url="errata.htm">errata</ulink>.
-      Otherwise:</para>
+      Shorewall version 1.4.4 or 1.4.4a then check the <ulink
+      url="errata.htm">errata</ulink>. Otherwise:</para>
 
       <itemizedlist>
         <listitem>
           <para>Find where klogd is being started (it will be from one of the
           files in /etc/init.d -- sysklogd, klogd, ...). Modify that file or
           the appropriate configuration file so that klogd is started with
-          <quote>-c <emphasis>&#60;n&#62;</emphasis></quote> where
-          <emphasis>&#60;n&#62;</emphasis> is a log level of 5 or less; or</para>
+          <quote>-c <emphasis>&lt;n&gt;</emphasis></quote> where
+          <emphasis>&lt;n&gt;</emphasis> is a log level of 5 or less;
+          or</para>
         </listitem>
 
         <listitem>
-          <para>See the <quote>dmesg</quote> man page (<quote>man dmesg</quote>).
-          You must add a suitable <quote>dmesg</quote> command to your startup
-          scripts or place it in /etc/shorewall/start.</para>
+          <para>See the <quote>dmesg</quote> man page (<quote>man
+          dmesg</quote>). You must add a suitable <quote>dmesg</quote> command
+          to your startup scripts or place it in /etc/shorewall/start.</para>
         </listitem>
       </itemizedlist>
 
@@ -776,9 +809,10 @@ url="http://www.shorewall.net/pub/shorewall/parsefw/">http://www.shorewall.net/p
           <term>man1918 or logdrop</term>
 
           <listitem>
-            <para>The destination address is listed in <filename>/usr/share/shorewall/rfc1918</filename>
-            with a <emphasis role="bold">logdrop</emphasis> target -- see
-            <filename><ulink url="Documentation.htm#rfc1918">/usr/share/shorewall/rfc1918</ulink></filename>.</para>
+            <para>The destination address is listed in
+            <filename>/usr/share/shorewall/rfc1918</filename> with a <emphasis
+            role="bold">logdrop</emphasis> target -- see <filename><ulink
+            url="Documentation.htm#rfc1918">/usr/share/shorewall/rfc1918</ulink></filename>.</para>
           </listitem>
         </varlistentry>
 
@@ -794,23 +828,25 @@ url="http://www.shorewall.net/pub/shorewall/parsefw/">http://www.shorewall.net/p
         </varlistentry>
 
         <varlistentry id="all2all">
-          <term>all2&#60;zone&#62;, &#60;zone&#62;2all or all2all</term>
+          <term>all2&lt;zone&gt;, &lt;zone&gt;2all or all2all</term>
 
           <listitem>
-            <para>You have a <ulink url="Documentation.htm#Policy">policy</ulink>
-            that specifies a log level and this packet is being logged under
-            that policy. If you intend to ACCEPT this traffic then you need a
-            <ulink url="Documentation.htm#Rules">rule</ulink> to that effect.</para>
+            <para>You have a <ulink
+            url="Documentation.htm#Policy">policy</ulink> that specifies a log
+            level and this packet is being logged under that policy. If you
+            intend to ACCEPT this traffic then you need a <ulink
+            url="Documentation.htm#Rules">rule</ulink> to that effect.</para>
           </listitem>
         </varlistentry>
 
         <varlistentry>
-          <term>&#60;zone1&#62;2&#60;zone2&#62;</term>
+          <term>&lt;zone1&gt;2&lt;zone2&gt;</term>
 
           <listitem>
-            <para>Either you have a <ulink url="Documentation.htm#Policy">policy</ulink>
-            for <emphasis role="bold">&#60;zone1&#62;</emphasis> to <emphasis
-            role="bold">&#60;zone2&#62;</emphasis> that specifies a log level
+            <para>Either you have a <ulink
+            url="Documentation.htm#Policy">policy</ulink> for <emphasis
+            role="bold">&lt;zone1&gt;</emphasis> to <emphasis
+            role="bold">&lt;zone2&gt;</emphasis> that specifies a log level
             and this packet is being logged under that policy or this packet
             matches a <ulink url="Documentation.htm#Rules">rule</ulink> that
             includes a log level.</para>
@@ -818,11 +854,13 @@ url="http://www.shorewall.net/pub/shorewall/parsefw/">http://www.shorewall.net/p
         </varlistentry>
 
         <varlistentry>
-          <term>&#60;interface&#62;_mac</term>
+          <term>&lt;interface&gt;_mac</term>
 
           <listitem>
-            <para>The packet is being logged under the <emphasis role="bold">maclist</emphasis>
-            <ulink url="Documentation.htm#Interfaces">interface option</ulink>.</para>
+            <para>The packet is being logged under the <emphasis
+            role="bold">maclist</emphasis> <ulink
+            url="Documentation.htm#Interfaces">interface
+            option</ulink>.</para>
           </listitem>
         </varlistentry>
 
@@ -830,8 +868,10 @@ url="http://www.shorewall.net/pub/shorewall/parsefw/">http://www.shorewall.net/p
           <term>logpkt</term>
 
           <listitem>
-            <para>The packet is being logged under the <emphasis role="bold">logunclean</emphasis>
-            <ulink url="Documentation.htm#Interfaces">interface option</ulink>.</para>
+            <para>The packet is being logged under the <emphasis
+            role="bold">logunclean</emphasis> <ulink
+            url="Documentation.htm#Interfaces">interface
+            option</ulink>.</para>
           </listitem>
         </varlistentry>
 
@@ -839,10 +879,12 @@ url="http://www.shorewall.net/pub/shorewall/parsefw/">http://www.shorewall.net/p
           <term>badpkt</term>
 
           <listitem>
-            <para>The packet is being logged under the <emphasis role="bold">dropunclean</emphasis>
-            <ulink url="Documentation.htm#Interfaces">interface option</ulink>
-            as specified in the <emphasis role="bold">LOGUNCLEAN</emphasis>
-            setting in <ulink url="Documentation.htm#Conf"><filename>/etc/shorewall/shorewall.conf</filename></ulink>.</para>
+            <para>The packet is being logged under the <emphasis
+            role="bold">dropunclean</emphasis> <ulink
+            url="Documentation.htm#Interfaces">interface option</ulink> as
+            specified in the <emphasis role="bold">LOGUNCLEAN</emphasis>
+            setting in <ulink
+            url="Documentation.htm#Conf"><filename>/etc/shorewall/shorewall.conf</filename></ulink>.</para>
           </listitem>
         </varlistentry>
 
@@ -864,8 +906,9 @@ url="http://www.shorewall.net/pub/shorewall/parsefw/">http://www.shorewall.net/p
             <para>The packet is being logged because it is a TCP packet that
             is not part of any current connection yet it is not a syn packet.
             Options affecting the logging of such packets include <emphasis
-            role="bold">NEWNOTSYN</emphasis> and <emphasis role="bold">LOGNEWNOTSYN</emphasis>
-            in <ulink url="Documentation.htm#Conf"><filename>/etc/shorewall/shorewall.conf</filename></ulink>.</para>
+            role="bold">NEWNOTSYN</emphasis> and <emphasis
+            role="bold">LOGNEWNOTSYN</emphasis> in <ulink
+            url="Documentation.htm#Conf"><filename>/etc/shorewall/shorewall.conf</filename></ulink>.</para>
           </listitem>
         </varlistentry>
 
@@ -873,12 +916,12 @@ url="http://www.shorewall.net/pub/shorewall/parsefw/">http://www.shorewall.net/p
           <term>INPUT or FORWARD</term>
 
           <listitem>
-            <para>The packet has a source IP address that isn&#39;t in any of
-            your defined zones (<quote>shorewall check</quote> and look at the
+            <para>The packet has a source IP address that isn't in any of your
+            defined zones (<quote>shorewall check</quote> and look at the
             printed zone definitions) or the chain is FORWARD and the
-            destination IP isn&#39;t in any of your defined zones. Also see
-            <xref linkend="faq2a" /> for another cause of packets being logged
-            in the FORWARD chain.</para>
+            destination IP isn't in any of your defined zones. Also see <xref
+            linkend="faq2a" /> for another cause of packets being logged in
+            the FORWARD chain.</para>
           </listitem>
         </varlistentry>
 
@@ -888,7 +931,8 @@ url="http://www.shorewall.net/pub/shorewall/parsefw/">http://www.shorewall.net/p
           <listitem>
             <para>The packet is being logged because it failed the checks
             implemented by the <emphasis role="bold">tcpflags</emphasis>
-            <ulink url="Documentation.htm#Interfaces">interface option</ulink>.</para>
+            <ulink url="Documentation.htm#Interfaces">interface
+            option</ulink>.</para>
           </listitem>
         </varlistentry>
       </variablelist>
@@ -897,20 +941,24 @@ url="http://www.shorewall.net/pub/shorewall/parsefw/">http://www.shorewall.net/p
         <title>Here is an example:</title>
 
         <programlisting>Jun 27 15:37:56 gateway kernel:
-        Shorewall:all2all:REJECT:IN=eth2 OUT=eth1 SRC=192.168.2.2
-        DST=192.168.1.3 LEN=67 TOS=0x00 PREC=0x00 TTL=63 ID=5805 DF PROTO=UDP
-        SPT=1803 DPT=53 LEN=47</programlisting>
+        Shorewall:<emphasis role="bold">all2all:REJECT</emphasis>:<emphasis
+            role="bold">IN=eth2</emphasis> <emphasis role="bold">OUT=eth1</emphasis> <emphasis
+            role="bold">SRC=192.168.2.2</emphasis>
+        <emphasis role="bold">DST=192.168.1.3 </emphasis>LEN=67 TOS=0x00 PREC=0x00 TTL=63 ID=5805 DF <emphasis
+            role="bold">PROTO=UDP</emphasis>
+        SPT=1803 <emphasis role="bold">DPT=53</emphasis> LEN=47</programlisting>
 
-        <para>Let&#39;s look at the important parts of this message:</para>
+        <para>Let's look at the important parts of this message:</para>
 
         <variablelist>
           <varlistentry>
             <term>all2all:REJECT</term>
 
             <listitem>
-              <para>This packet was REJECTed out of the <emphasis role="bold">all2all</emphasis>
-              chain -- the packet was rejected under the <quote>all</quote>-&#62;<quote>all</quote>
-              REJECT policy (<xref linkend="all2all" /> above).</para>
+              <para>This packet was REJECTed out of the <emphasis
+              role="bold">all2all</emphasis> chain -- the packet was rejected
+              under the <quote>all</quote>-&gt;<quote>all</quote> REJECT
+              policy (<xref linkend="all2all" /> above).</para>
             </listitem>
           </varlistentry>
 
@@ -971,7 +1019,8 @@ url="http://www.shorewall.net/pub/shorewall/parsefw/">http://www.shorewall.net/p
         url="http://logi.cc/linux/netfilter-log-format.php3">http://logi.cc/linux/netfilter-log-format.php3</ulink>.</para>
 
         <para>In this case, 192.168.2.2 was in the <quote>dmz</quote> zone and
-        192.168.1.3 is in the <quote>loc</quote> zone. I was missing the rule:</para>
+        192.168.1.3 is in the <quote>loc</quote> zone. I was missing the
+        rule:</para>
 
         <programlisting>ACCEPT dmz loc udp 53</programlisting>
       </example>
@@ -1012,15 +1061,15 @@ url="http://www.shorewall.net/pub/shorewall/parsefw/">http://www.shorewall.net/p
       UDP port 2857. This causes a port unreachable (type 3, code 3) to be
       generated back to 192.0.2.3. As this packet is sent back through
       206.124.146.179, that box correctly changes the source address in the
-      packet to 206.124.146.179 but doesn&#39;t reset the DST IP in the
-      original DNS response similarly. When the ICMP reaches your firewall
-      (192.0.2.3), your firewall has no record of having sent a DNS reply to
-      172.16.1.10 so this ICMP doesn&#39;t appear to be related to anything
-      that was sent. The final result is that the packet gets logged and
-      dropped in the all2all chain. I have also seen cases where the source IP
-      in the ICMP itself isn&#39;t set back to the external IP of the remote
-      NAT gateway; that causes your firewall to log and drop the packet out of
-      the rfc1918 chain because the source IP is reserved by RFC 1918.</para>
+      packet to 206.124.146.179 but doesn't reset the DST IP in the original
+      DNS response similarly. When the ICMP reaches your firewall (192.0.2.3),
+      your firewall has no record of having sent a DNS reply to 172.16.1.10 so
+      this ICMP doesn't appear to be related to anything that was sent. The
+      final result is that the packet gets logged and dropped in the all2all
+      chain. I have also seen cases where the source IP in the ICMP itself
+      isn't set back to the external IP of the remote NAT gateway; that causes
+      your firewall to log and drop the packet out of the rfc1918 chain
+      because the source IP is reserved by RFC 1918.</para>
     </section>
   </section>
 
@@ -1067,7 +1116,8 @@ eth1             eth2</programlisting>
       url="http://www.lartc.org">LARTC HOWTO</ulink> and has not been verified
       by the author. If you have questions or problems with the instructions
       given below, please post to the <ulink
-      url="http://www.lartc.org/#mailinglist">LARTC mailing list</ulink>.</citetitle></para>
+      url="http://www.lartc.org/#mailinglist">LARTC mailing
+      list</ulink>.</citetitle></para>
 
       <sidebar>
         <para>A common configuration is the following, in which there are two
@@ -1103,15 +1153,17 @@ eth1             eth2</programlisting>
         <para>Let us first set some symbolical names. Let <emphasis
         role="bold">$IF1</emphasis> be the name of the first interface (if1 in
         the picture above) and <emphasis role="bold">$IF2</emphasis> the name
-        of the second interface. Then let <emphasis role="bold">$IP1</emphasis>
-        be the IP address associated with <emphasis role="bold">$IF1</emphasis>
-        and <emphasis role="bold">$IP2</emphasis> the IP address associated
-        with <emphasis role="bold">$IF2</emphasis>. Next, let <emphasis
+        of the second interface. Then let <emphasis
+        role="bold">$IP1</emphasis> be the IP address associated with
+        <emphasis role="bold">$IF1</emphasis> and <emphasis
+        role="bold">$IP2</emphasis> the IP address associated with <emphasis
+        role="bold">$IF2</emphasis>. Next, let <emphasis
         role="bold">$P1</emphasis> be the IP address of the gateway at
         Provider 1, and <emphasis role="bold">$P2</emphasis> the IP address of
-        the gateway at provider 2. Finally, let <emphasis role="bold">$P1_NET</emphasis>
-        be the IP network <emphasis role="bold">$P1</emphasis> is in, and
-        <emphasis role="bold">$P2_NET</emphasis> the IP network <emphasis
+        the gateway at provider 2. Finally, let <emphasis
+        role="bold">$P1_NET</emphasis> be the IP network <emphasis
+        role="bold">$P1</emphasis> is in, and <emphasis
+        role="bold">$P2_NET</emphasis> the IP network <emphasis
         role="bold">$P2</emphasis> is in.</para>
 
         <para>One creates two additional routing tables, say <emphasis
@@ -1133,8 +1185,8 @@ ip route add default via $P2 table T2</programlisting>
 
         <para>Next you set up the main routing table. It is a good idea to
         route things to the direct neighbour through the interface connected
-        to that neighbour. Note the `src&#39; arguments, they make sure the
-        right outgoing IP address is chosen.</para>
+        to that neighbour. Note the `src' arguments, they make sure the right
+        outgoing IP address is chosen.</para>
 
         <programlisting>ip route add $P1_NET dev $IF1 src $IP1
 ip route add $P2_NET dev $IF2 src $IP2</programlisting>
@@ -1155,8 +1207,8 @@ ip rule add from $IP2 table T2</programlisting>
         on a particular interface get answered from that interface.</para>
 
         <note>
-          <para>&#39;If $P0_NET is the local network and $IF0 is its
-          interface, the following additional entries are desirable:</para>
+          <para>'If $P0_NET is the local network and $IF0 is its interface,
+          the following additional entries are desirable:</para>
 
           <programlisting format="linespecific">ip route add $P0_NET dev $IF0 table T1
 ip route add $P2_NET dev $IF2 table T1
@@ -1200,11 +1252,45 @@ ip route add 127.0.0.0/8 dev lo table T2</programlisting>
         </note>
 
         <para>Furthermore, if you really want to do this, you probably also
-        want to look at Julian Anastasov&#39;s patches at <ulink
+        want to look at Julian Anastasov's patches at <ulink
         url="http://www.ssi.bg/%7Eja/#routes">http://www.ssi.bg/~ja/#routes</ulink>
-        , Julian&#39;s route patch page. They will make things nicer to work
+        , Julian's route patch page. They will make things nicer to work
         with.</para>
       </sidebar>
+
+      <para>The following was contributed by Martin Brown and is an excerpt
+      from <citetitle><ulink
+      url="http://www.docum.org/stef.coene/qos/faq/cache/44.html">http://www.docum.org/stef.coene/qos/faq/cache/44.html</ulink></citetitle>.</para>
+
+      <sidebar>
+        <para>There are two issues requiring different handling when dealing
+        with multiple Internet providers on a given network. The below assumes
+        that the host which has multiple Internet connections is a
+        masquerading (or NATting) host and is at the chokepoint between the
+        internal and external networks. For the use of multiple inbound
+        connections to the same internal server (public IP A from ISP A and
+        public IP B from ISP B both get redirected to the same internal
+        server), the ideal solution involves using two private IP addresses on
+        the internal server. This leads to an end-to-end uniqueness of public
+        IP to private IP and can be easily accomplished by following the
+        directions here:</para>
+
+        <para><ulink
+        url="http://linux-ip.net/html/adv-multi-internet.html#adv-multi-internet-inbound"><citetitle>http://linux-ip.net/html/adv-multi-internet.html#adv-multi-internet-inbound</citetitle></ulink></para>
+
+        <para>For the use of multiple outbound links to the Internet, there
+        are a number of different techniques. The simplest is identified
+        here:</para>
+
+        <para><citetitle><ulink
+        url="http://linux-ip.net/html/adv-multi-internet.html#adv-multi-internet-outbound">http://linux-ip.net/html/adv-multi-internet.html#adv-multi-internet-outbound</ulink></citetitle></para>
+
+        <para>Better (and more robust) techniques are available after a kernel
+        routing patch by Julian Anastasov. See the famous nano-howto.</para>
+
+        <para><citetitle><ulink
+        url="http://www.ssi.bg/~ja/">http://www.ssi.bg/~ja/</ulink></citetitle></para>
+      </sidebar>
     </section>
   </section>
 
@@ -1212,19 +1298,20 @@ ip route add 127.0.0.0/8 dev lo table T2</programlisting>
     <title>Starting and Stopping</title>
 
     <section id="faq7">
-      <title>(FAQ 7) When I stop Shorewall using <quote>shorewall stop</quote>,
-      I can&#39;t connect to anything. Why doesn&#39;t that command work?</title>
+      <title>(FAQ 7) When I stop Shorewall using <quote>shorewall
+      stop</quote>, I can't connect to anything. Why doesn't that command
+      work?</title>
 
       <para>The <quote><command>stop</command></quote> command is intended to
       place your firewall into a safe state whereby only those hosts listed in
-      <filename>/etc/shorewall/routestopped</filename>&#39; are activated. If
-      you want to totally open up your firewall, you must use the
+      <filename>/etc/shorewall/routestopped</filename>' are activated. If you
+      want to totally open up your firewall, you must use the
       <quote><command>shorewall clear</command></quote> command.</para>
     </section>
 
     <section id="faq8">
       <title>(FAQ 8) When I try to start Shorewall on RedHat, I get messages
-      about insmod failing -- what&#39;s wrong?</title>
+      about insmod failing -- what's wrong?</title>
 
       <para><emphasis role="bold">Answer:</emphasis> The output you will see
       looks something like this:</para>
@@ -1234,7 +1321,7 @@ Hint: insmod errors can be caused by incorrect module parameters, including inva
 /lib/modules/2.4.17/kernel/net/ipv4/netfilter/ip_tables.o: insmod
 /lib/modules/2.4.17/kernel/net/ipv4/netfilter/ip_tables.o failed
 /lib/modules/2.4.17/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed
-iptables v1.2.3: can&#39;t initialize iptables table `nat&#39;: iptables who? (do you need to insmod?)
+iptables v1.2.3: can't initialize iptables table `nat': iptables who? (do you need to insmod?)
 Perhaps iptables or your kernel needs to be upgraded.</programlisting>
 
       <para>This problem is usually corrected through the following sequence
@@ -1253,12 +1340,13 @@ rmmod ipchains</command></programlisting>
         message referring me to FAQ #8</title>
 
         <para><emphasis role="bold">Answer:</emphasis> This is usually cured
-        by the sequence of commands shown above in <xref linkend="faq8" />.</para>
+        by the sequence of commands shown above in <xref
+        linkend="faq8" />.</para>
       </section>
     </section>
 
     <section id="faq9">
-      <title>(FAQ 9) Why can&#39;t Shorewall detect my interfaces properly at
+      <title>(FAQ 9) Why can't Shorewall detect my interfaces properly at
       startup?</title>
 
       <para>I just installed Shorewall and when I issue the start command, I
@@ -1280,18 +1368,18 @@ Deleting user chains...
 Creating input Chains...
 ...</programlisting>
 
-      <para>Why can&#39;t Shorewall detect my interfaces properly?</para>
+      <para>Why can't Shorewall detect my interfaces properly?</para>
 
       <para><emphasis role="bold">Answer:</emphasis> The above output is
       perfectly normal. The Net zone is defined as all hosts that are
       connected through eth0 and the local zone is defined as all hosts
       connected through <filename class="devicefile">eth1</filename>. If you
       are running Shorewall 1.4.10 or later, you can consider setting the
-      <ulink url="Documentation.htm#Interfaces"><emphasis role="bold">detectnets</emphasis>
-      interface option</ulink> on your local interface (<filename
-      class="devicefile">eth1</filename> in the above example). That will
-      cause Shorewall to restrict the local zone to only those networks routed
-      through that interface.</para>
+      <ulink url="Documentation.htm#Interfaces"><emphasis
+      role="bold">detectnets</emphasis> interface option</ulink> on your local
+      interface (<filename class="devicefile">eth1</filename> in the above
+      example). That will cause Shorewall to restrict the local zone to only
+      those networks routed through that interface.</para>
     </section>
 
     <section id="faq22">
@@ -1299,25 +1387,86 @@ Creating input Chains...
       Shorewall starts. Which file do I put them in?</title>
 
       <para>You can place these commands in one of the <ulink
-      url="shorewall_extension_scripts.htm">Shorewall Extension Scripts</ulink>.
-      Be sure that you look at the contents of the chain(s) that you will be
-      modifying with your commands to be sure that the commands will do what
-      they are intended. Many iptables commands published in HOWTOs and other
-      instructional material use the -A command which adds the rules to the
-      end of the chain. Most chains that Shorewall constructs end with an
-      unconditional DROP, ACCEPT or REJECT rule and any rules that you add
-      after that will be ignored. Check <quote>man iptables</quote> and look
-      at the -I (--insert) command.</para>
+      url="shorewall_extension_scripts.htm">Shorewall Extension
+      Scripts</ulink>. Be sure that you look at the contents of the chain(s)
+      that you will be modifying with your commands to be sure that the
+      commands will do what they are intended. Many iptables commands
+      published in HOWTOs and other instructional material use the -A command
+      which adds the rules to the end of the chain. Most chains that Shorewall
+      constructs end with an unconditional DROP, ACCEPT or REJECT rule and any
+      rules that you add after that will be ignored. Check <quote>man
+      iptables</quote> and look at the -I (--insert) command.</para>
     </section>
 
     <section id="faq34">
       <title>(FAQ 34) How can I speed up start (restart)?</title>
 
       <para>Using a light-weight shell such as <command>ash</command> can
-      dramatically decrease the time required to <emphasis role="bold">start</emphasis>
-      or <emphasis role="bold">restart</emphasis> Shorewall. See the
-      SHOREWALL_SHELL variable in <filename><ulink
+      dramatically decrease the time required to <emphasis
+      role="bold">start</emphasis> or <emphasis role="bold">restart</emphasis>
+      Shorewall. See the SHOREWALL_SHELL variable in <filename><ulink
       url="Documentation.htm#Conf">shorewall.conf</ulink></filename>.</para>
+
+      <para>Beginning with Shorewall version 2.0.2 Beta 1, Shorewall supports
+      a fast start capability. To use this capability:</para>
+
+      <orderedlist>
+        <listitem>
+          <para>With Shorewall in the <ulink
+          url="starting_and_stopping_shorewall.htm">started state</ulink>, run
+          <command>shorewall save</command>. This creates the script
+          <filename>/var/lib/shorewall/restore</filename>.</para>
+        </listitem>
+
+        <listitem>
+          <para>Use the <emphasis role="bold">-f </emphasis>option to the
+          start command (e.g., <command>shorewall -f start</command>). This
+          causes Shorewall to look for the
+          <filename>/var/lib/shorewall/restore</filename> script and if that
+          script exists, it is run. Running
+          <filename>/var/lib/shorewall/restore</filename> takes much less time
+          than a full <command>shorewall start</command>.</para>
+        </listitem>
+
+        <listitem>
+          <para>The <filename>/etc/init.d/shorewall</filename> script that is
+          run at boot time uses the <emphasis role="bold">-f</emphasis>
+          option.</para>
+        </listitem>
+
+        <listitem>
+          <para>The <filename>/var/lib/shorewall/restore</filename> script can
+          be run any time to restore the firewall. The script may be run
+          directly or it may be run indirectly using the <command>shorewall
+          restore</command> command.</para>
+        </listitem>
+      </orderedlist>
+
+      <para>If you change your Shorewall configuration, you must execute a
+      <emphasis role="bold">shorewall start</emphasis> (without <emphasis
+      role="bold">-f</emphasis>) or <command>shorewall restart</command> prior
+      to doing another <command>shorewall save</command>. The
+      <command>shorewall save</command> command saves the currently running
+      configuration and not the one reflected in your updated configuration
+      files.</para>
+
+      <para>Likewise, if you change your Shorewall configuration then once you
+      are satisfied that it is working properly, you must do another
+      <command>shorewall save</command>. Otherwise at the next reboot, you
+      will revert to the old configuration stored in
+      <filename>/var/lib/shorewall/restore</filename>.</para>
+
+      <section id="faq34a">
+        <title>(FAQ 34a) I get errors about a host or network not found when I
+        run<filename>/var/lib/shorewall/restore</filename>. The
+        <command>shorewall restore</command> and <command>shorewall -f
+        start</command> commands gives the same result.</title>
+
+        <para>Answer: iptables 1.2.9 is broken with respect to iptables-save
+        and the connection tracking match extension. You must patch your
+        iptables using the patch available from the <ulink
+        url="errata.htm">Shorewall errata page</ulink>.</para>
+      </section>
     </section>
   </section>
 
@@ -1328,7 +1477,8 @@ Creating input Chains...
       <title>(FAQ 10) What Distributions does it work with?</title>
 
       <para>Shorewall works with any GNU/Linux distribution that includes the
-      <ulink url="shorewall_prerequisites.htm">proper prerequisites</ulink>.</para>
+      <ulink url="shorewall_prerequisites.htm">proper
+      prerequisites</ulink>.</para>
     </section>
 
     <section id="faq11">
@@ -1360,14 +1510,15 @@ Creating input Chains...
     <section id="faq23">
       <title>(FAQ 23) Why do you use such ugly fonts on your web site?</title>
 
-      <para>The Shorewall web site is almost font neutral (it doesn&#39;t
+      <para>The Shorewall web site is almost font neutral (it doesn't
       explicitly specify fonts except on a few pages) so the fonts you see are
-      largely the default fonts configured in your browser. If you don&#39;t
-      like them then reconfigure your browser.</para>
+      largely the default fonts configured in your browser. If you don't like
+      them then reconfigure your browser.</para>
     </section>
 
     <section id="faq25">
-      <title>(FAQ 25) How to I tell which version of Shorewall I am running?</title>
+      <title>(FAQ 25) How to I tell which version of Shorewall I am
+      running?</title>
 
       <para>At the shell prompt, type:</para>
 
@@ -1388,7 +1539,8 @@ Creating input Chains...
         </varlistentry>
 
         <varlistentry>
-          <term>Tear Drop: Sending packets that contain overlapping fragments?</term>
+          <term>Tear Drop: Sending packets that contain overlapping
+          fragments?</term>
 
           <listitem>
             <para>Answer: This is the responsibility of the IP stack, not the
@@ -1406,7 +1558,8 @@ Creating input Chains...
             <ulink url="blacklisting_support.htm">blacklisting</ulink>
             facility. Shorewall versions 2.0.0 and later filter these packets
             under the <firstterm>nosmurfs</firstterm> interface option in
-            <ulink url="Documentation.htm#Interfaces">/etc/shorewall/interfaces</ulink>.</para>
+            <ulink
+            url="Documentation.htm#Interfaces">/etc/shorewall/interfaces</ulink>.</para>
           </listitem>
         </varlistentry>
 
@@ -1416,8 +1569,8 @@ Creating input Chains...
 
           <listitem>
             <para>Answer: Yes, if the <ulink
-            url="Documentation.htm#Interfaces">routefilter interface option</ulink>
-            is selected.</para>
+            url="Documentation.htm#Interfaces">routefilter interface
+            option</ulink> is selected.</para>
           </listitem>
         </varlistentry>
 
@@ -1426,10 +1579,10 @@ Creating input Chains...
 
           <listitem>
             <para>Answer: Shorewall has facilities for limiting SYN and ICMP
-            packets. Netfilter as included in standard Linux kernels
-            doesn&#39;t support per-remote-host limiting except by explicit
-            rule that specifies the host IP address; that form of limiting is
-            supported by Shorewall.</para>
+            packets. Netfilter as included in standard Linux kernels doesn't
+            support per-remote-host limiting except by explicit rule that
+            specifies the host IP address; that form of limiting is supported
+            by Shorewall.</para>
           </listitem>
         </varlistentry>
       </variablelist>
@@ -1446,16 +1599,39 @@ Creating input Chains...
       and it is silly to continue to run it simply because it is bundled with
       an ancient Debian release.</para>
     </section>
+
+    <section id="faq36">
+      <title>(FAQ 36) Does Shorewall Work with the 2.6 Linux Kernel?</title>
+
+      <para>Shorewall works with the 2.6 Kernels with a couple of
+      caveats:</para>
+
+      <itemizedlist>
+        <listitem>
+          <para>Netfilter/iptables doesn't fully support IPSEC in the 2.6
+          Kernels -- there are interim instructions linked from the <ulink
+          url="IPSEC.htm">Shorewall IPSEC page</ulink>.</para>
+        </listitem>
+
+        <listitem>
+          <para>The 2.6 Kernels do not provide support for the logunclean and
+          dropunclean options in
+          <filename>/etc/shorewall/interfaces</filename>. Note that support
+          for those options was also removed from Shorewall in version
+          2.0.0.</para>
+        </listitem>
+      </itemizedlist>
+    </section>
   </section>
 
   <section>
     <title>RFC 1918</title>
 
     <section id="faq14">
-      <title>(FAQ 14) I&#39;m connected via a cable modem and it has an
-      internal web server that allows me to configure/monitor it but as
-      expected if I enable rfc1918 blocking for my eth0 interface (the
-      internet one), it also blocks the cable modems web server.</title>
+      <title>(FAQ 14) I'm connected via a cable modem and it has an internal
+      web server that allows me to configure/monitor it but as expected if I
+      enable rfc1918 blocking for my eth0 interface (the internet one), it
+      also blocks the cable modems web server.</title>
 
       <para>Is there any way it can add a rule before the rfc1918 blocking
       that will let all traffic to and from the 192.168.100.1 address of the
@@ -1473,7 +1649,8 @@ Creating input Chains...
       first copy <filename>/usr/share/shorewall/rfc1918</filename> to
       <filename>/etc/shorewall/rfc1918</filename>):</para>
 
-      <para>Be sure that you add the entry ABOVE the entry for 192.168.0.0/16.</para>
+      <para>Be sure that you add the entry ABOVE the entry for
+      192.168.0.0/16.</para>
 
       <programlisting>#SUBNET        TARGET
 192.168.100.1  RETURN</programlisting>
@@ -1491,10 +1668,9 @@ Creating input Chains...
       </note>
 
       <section id="faq14a">
-        <title>(FAQ 14a) Even though it assigns public IP addresses, my
-        ISP&#39;s DHCP server has an RFC 1918 address. If I enable RFC 1918
-        filtering on my external interface, my DHCP client cannot renew its
-        lease.</title>
+        <title>(FAQ 14a) Even though it assigns public IP addresses, my ISP's
+        DHCP server has an RFC 1918 address. If I enable RFC 1918 filtering on
+        my external interface, my DHCP client cannot renew its lease.</title>
 
         <para>The solution is the same as <xref linkend="faq14" /> above.
         Simply substitute the IP address of your ISPs DHCP server.</para>
@@ -1520,9 +1696,9 @@ Creating input Chains...
 
     <section id="faq19">
       <title>(FAQ 19) I have added entries to /etc/shorewall/tcrules but they
-      don&#39;t seem to do anything. Why?</title>
+      don't seem to do anything. Why?</title>
 
-      <para>You probably haven&#39;t set TC_ENABLED=Yes in
+      <para>You probably haven't set TC_ENABLED=Yes in
       /etc/shorewall/shorewall.conf so the contents of the tcrules file are
       simply being ignored.</para>
     </section>
@@ -1531,19 +1707,21 @@ Creating input Chains...
       <title>(FAQ 20) I have just set up a server. Do I have to change
       Shorewall to allow access to my server from the internet?</title>
 
-      <para>Yes. Consult the <ulink url="shorewall_quickstart_guide.htm">QuickStart
-      guide</ulink> that you used during your initial setup for information
-      about how to set up rules for your server.</para>
+      <para>Yes. Consult the <ulink
+      url="shorewall_quickstart_guide.htm">QuickStart guide</ulink> that you
+      used during your initial setup for information about how to set up rules
+      for your server.</para>
     </section>
 
     <section id="faq24">
-      <title>(FAQ 24) How can I allow conections to let&#39;s say the ssh port
+      <title>(FAQ 24) How can I allow conections to let's say the ssh port
       only from specific IP Addresses on the internet?</title>
 
       <para>In the SOURCE column of the rule, follow <quote>net</quote> by a
-      colon and a list of the host/subnet addresses as a comma-separated list.</para>
+      colon and a list of the host/subnet addresses as a comma-separated
+      list.</para>
 
-      <programlisting>net:&#60;ip1&#62;,&#60;ip2&#62;,...</programlisting>
+      <programlisting>net:&lt;ip1&gt;,&lt;ip2&gt;,...</programlisting>
 
       <example>
         <title>Example:</title>
@@ -1555,15 +1733,16 @@ Creating input Chains...
     <section id="faq26">
       <title>(FAQ 26) When I try to use any of the SYN options in nmap on or
       behind the firewall, I get <quote>operation not permitted</quote>. How
-      can I use nmap with Shorewall?&#34;</title>
+      can I use nmap with Shorewall?"</title>
 
-      <para>Edit /etc/shorewall/shorewall.conf and change <quote>NEWNOTSYN=No</quote>
-      to <quote>NEWNOTSYN=Yes</quote> then restart Shorewall.</para>
+      <para>Edit /etc/shorewall/shorewall.conf and change
+      <quote>NEWNOTSYN=No</quote> to <quote>NEWNOTSYN=Yes</quote> then restart
+      Shorewall.</para>
 
       <section id="faq26a">
         <title>(FAQ 26a) When I try to use the <quote>-O</quote> option of
-        nmap from the firewall system, I get <quote>operation not permitted</quote>.
-        How do I allow this option?</title>
+        nmap from the firewall system, I get <quote>operation not
+        permitted</quote>. How do I allow this option?</title>
 
         <para>Add this command to your /etc/shorewall/start file:</para>
 
@@ -1572,34 +1751,35 @@ Creating input Chains...
     </section>
 
     <section id="faq27">
-      <title>(FAQ 27) I&#39;m compiling a new kernel for my firewall. What
-      should I look out for?</title>
+      <title>(FAQ 27) I'm compiling a new kernel for my firewall. What should
+      I look out for?</title>
 
       <para>First take a look at the <ulink url="kernel.htm">Shorewall kernel
       configuration page</ulink>. You probably also want to be sure that you
       have selected the <quote><emphasis role="bold">NAT of local connections
       (READ HELP)</emphasis></quote> on the Netfilter Configuration menu.
-      Otherwise, DNAT rules with your firewall as the source zone won&#39;t
-      work with your new kernel.</para>
+      Otherwise, DNAT rules with your firewall as the source zone won't work
+      with your new kernel.</para>
 
       <section id="faq27a">
         <title>(FAQ 27a) I just built and installed a new kernel and now
-        Shorewall won&#39;t start. I know that my kernel options are correct.</title>
+        Shorewall won't start. I know that my kernel options are
+        correct.</title>
 
         <para>The last few lines of <ulink url="troubleshoot.htm">a startup
         trace</ulink> are these:</para>
 
         <programlisting>+ run_iptables2 -t nat -A eth0_masq -s 192.168.2.0/24 -d 0.0.0.0/0 -j
 MASQUERADE
-+ &#39;[&#39; &#39;x-t nat -A eth0_masq -s 192.168.2.0/24 -d 0.0.0.0/0 -j
-MASQUERADE&#39; = &#39;x-t nat -A eth0_masq -s 192.168.2.0/24 -d 0.0.0.
-0/0 -j MASQUERADE&#39; &#39;]&#39;
++ '[' 'x-t nat -A eth0_masq -s 192.168.2.0/24 -d 0.0.0.0/0 -j
+MASQUERADE' = 'x-t nat -A eth0_masq -s 192.168.2.0/24 -d 0.0.0.
+0/0 -j MASQUERADE' ']'
 + run_iptables -t nat -A eth0_masq -s 192.168.2.0/24 -d 0.0.0.0/0 -j
 MASQUERADE
 + iptables -t nat -A eth0_masq -s 192.168.2.0/24 -d 0.0.0.0/0 -j
 MASQUERADE
 iptables: Invalid argument
-+ &#39;[&#39; -z &#39;&#39; &#39;]&#39;
++ '[' -z '' ']'
 + stop_firewall
 + set +x</programlisting>
 
@@ -1621,32 +1801,275 @@ iptables: Invalid argument
   <appendix>
     <title>Revision History</title>
 
-    <para><revhistory><revision><revnumber>1.20</revnumber><date>2004-03-05</date><authorinitials>TE</authorinitials><revremark>Added
-    Bridging link.</revremark></revision><revision><revnumber>1.20</revnumber><date>2004-02-27</date><authorinitials>TE</authorinitials><revremark>Added
-    FAQ 35.</revremark></revision><revision><revnumber>1.19</revnumber><date>2004-02-22</date><authorinitials>TE</authorinitials><revremark>Added
-    mention of nosmurfs option under FAQ 31.</revremark></revision><revision><revnumber>1.18</revnumber><date>2004-02-15</date><authorinitials>TE</authorinitials><revremark>Added
-    FAQ 34.</revremark></revision><revision><revnumber>1.17</revnumber><date>2004-02-11</date><authorinitials>TE</authorinitials><revremark>Added
-    FAQ 33.</revremark></revision><revision><revnumber>1.16</revnumber><date>2004-02-03</date><authorinitials>TE</authorinitials><revremark>Updated
-    for Shorewall 2.0.</revremark></revision><revision><revnumber>1.15</revnumber><date>2004-01-25</date><authorinitials>TE</authorinitials><revremark>Updated
-    FAQ 32 to mention masquerading. Remove tables.</revremark></revision><revision><revnumber>1.14</revnumber><date>2004-01-24</date><authorinitials>TE</authorinitials><revremark>Added
-    FAQ 27a regarding kernel/iptables incompatibility.</revremark></revision><revision><revnumber>1.13</revnumber><date>2004-01-24</date><authorinitials>TE</authorinitials><revremark>Add
-    a note about the <emphasis role="bold">detectnets</emphasis> interface
-    option in FAQ 9.</revremark></revision><revision><revnumber>1.12</revnumber><date>2004-01-20</date><authorinitials>TE</authorinitials><revremark>Improve
-    FAQ 16 answer.</revremark></revision><revision><revnumber>1.11</revnumber><date>2004-01-14</date><authorinitials>TE</authorinitials><revremark>Corrected
-    broken link</revremark></revision><revision><revnumber>1.10</revnumber><date>2004-01-09</date><authorinitials>TE</authorinitials><revremark>Added
-    a couple of more legacy FAQ numbers.</revremark></revision><revision><revnumber>1.9</revnumber><date>2004-01-08</date><authorinitials>TE</authorinitials><revremark>Corrected
-    typo in FAQ 26a. Added warning to FAQ 2 regarding source address of
-    redirected requests.</revremark></revision><revision><revnumber>1.8</revnumber><date>2003-12-31</date><authorinitials>TE</authorinitials><revremark>Additions
-    to FAQ 4.</revremark></revision><revision><revnumber>1.7</revnumber><date>2003-12-30</date><authorinitials>TE</authorinitials><revremark>Remove
-    dead link from FAQ 1.</revremark></revision><revision><revnumber>1.6</revnumber><date>2003.12-18</date><authorinitials>TE</authorinitials><revremark>Add
-    external link reference to FAQ 17.</revremark></revision><revision><revnumber>1.5</revnumber><date>2003-12-16</date><authorinitials>TE</authorinitials><revremark>Added
-    a link to a Sys Admin article about multiple internet interfaces. Added
-    Legal Notice. Moved &#34;abstract&#34; to the body of the document. Moved
-    Revision History to this Appendix.</revremark></revision><revision><revnumber>1.4</revnumber><date>2003-12-13</date><authorinitials>TE</authorinitials><revremark>Corrected
-    formatting problems</revremark></revision><revision><revnumber>1.3</revnumber><date>2003-12-10</date><authorinitials>TE</authorinitials><revremark>Changed
-    the title of FAQ 17</revremark></revision><revision><revnumber>1.2</revnumber><date>2003-12-09</date><authorinitials>TE</authorinitials><revremark>Added
-    Copyright and legacy FAQ numbers</revremark></revision><revision><revnumber>1.1</revnumber><date>2003-12-04</date><authorinitials>MN</authorinitials><revremark>Converted
-    to Simplified DocBook XML</revremark></revision><revision><revnumber>1.0</revnumber><date>2002-08-13</date><authorinitials>TE</authorinitials><revremark>Initial
-    revision</revremark></revision></revhistory></para>
+    <para><revhistory>
+        <revision>
+          <revnumber>1.25</revnumber>
+
+          <date>2004-04-25</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Update for Shorewall 2.0.2</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.24</revnumber>
+
+          <date>2004-04-25</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Add MA Brown's notes on multi-ISP routing.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.23</revnumber>
+
+          <date>2004-04-22</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Refined SNAT rule in FAQ #2.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.22</revnumber>
+
+          <date>2004-04-06</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Added FAQ 36.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.21</revnumber>
+
+          <date>2004-03-05</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Added Bridging link.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.20</revnumber>
+
+          <date>2004-02-27</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Added FAQ 35.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.19</revnumber>
+
+          <date>2004-02-22</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Added mention of nosmurfs option under FAQ
+          31.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.18</revnumber>
+
+          <date>2004-02-15</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Added FAQ 34.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.17</revnumber>
+
+          <date>2004-02-11</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Added FAQ 33.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.16</revnumber>
+
+          <date>2004-02-03</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Updated for Shorewall 2.0.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.15</revnumber>
+
+          <date>2004-01-25</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Updated FAQ 32 to mention masquerading. Remove
+          tables.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.14</revnumber>
+
+          <date>2004-01-24</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Added FAQ 27a regarding kernel/iptables
+          incompatibility.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.13</revnumber>
+
+          <date>2004-01-24</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Add a note about the <emphasis
+          role="bold">detectnets</emphasis> interface option in FAQ
+          9.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.12</revnumber>
+
+          <date>2004-01-20</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Improve FAQ 16 answer.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.11</revnumber>
+
+          <date>2004-01-14</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Corrected broken link</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.10</revnumber>
+
+          <date>2004-01-09</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Added a couple of more legacy FAQ numbers.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.9</revnumber>
+
+          <date>2004-01-08</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Corrected typo in FAQ 26a. Added warning to FAQ 2
+          regarding source address of redirected requests.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.8</revnumber>
+
+          <date>2003-12-31</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Additions to FAQ 4.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.7</revnumber>
+
+          <date>2003-12-30</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Remove dead link from FAQ 1.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.6</revnumber>
+
+          <date>2003.12-18</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Add external link reference to FAQ 17.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.5</revnumber>
+
+          <date>2003-12-16</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Added a link to a Sys Admin article about multiple
+          internet interfaces. Added Legal Notice. Moved "abstract" to the
+          body of the document. Moved Revision History to this
+          Appendix.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.4</revnumber>
+
+          <date>2003-12-13</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Corrected formatting problems</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.3</revnumber>
+
+          <date>2003-12-10</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Changed the title of FAQ 17</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.2</revnumber>
+
+          <date>2003-12-09</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Added Copyright and legacy FAQ numbers</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.1</revnumber>
+
+          <date>2003-12-04</date>
+
+          <authorinitials>MN</authorinitials>
+
+          <revremark>Converted to Simplified DocBook XML</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.0</revnumber>
+
+          <date>2002-08-13</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Initial revision</revremark>
+        </revision>
+      </revhistory></para>
   </appendix>
 </article>
\ No newline at end of file
diff --git a/Shorewall-docs2/FTP.xml b/Shorewall-docs2/FTP.xml
index 40a09696b..6b3c96afe 100644
--- a/Shorewall-docs2/FTP.xml
+++ b/Shorewall-docs2/FTP.xml
@@ -15,11 +15,13 @@
       </author>
     </authorgroup>
 
-    <pubdate>2003-12-01</pubdate>
+    <pubdate>2004-04-26</pubdate>
 
     <copyright>
       <year>2003</year>
 
+      <year>2004</year>
+
       <holder>Thomas M. Eastep</holder>
     </copyright>
 
@@ -62,6 +64,27 @@
     </orderedlist>
   </important>
 
+  <important>
+    <para><trademark>Mandrake</trademark> have done it again with their 10.0
+    release. This time, they have decided that kernel modules should have
+    &#34;ko.gz&#34; for their suffix. If you are having problems with Mandrake
+    10.0 and FTP, change your <filename>/etc/shorewall/conf</filename> file
+    definition of MODULE_SUFFIX as follows:</para>
+
+    <programlisting>MODULE_SUFFIX=&#34;o gz ko o.gz ko.gz&#34;</programlisting>
+
+    <para>The version of <command>insmod</command> shipped with 10.0 also does
+    not comprehend these module files so you will also need to change
+    <filename>/usr/share/shorewall/firewall</filename> -- replace the line
+    that reads:</para>
+
+    <programlisting>     insmod $modulefile $*</programlisting>
+
+    <para>with:</para>
+
+    <programlisting>     modprobe $modulename $*</programlisting>
+  </important>
+
   <section>
     <title>FTP Protocol</title>
 
diff --git a/Shorewall-docs2/IPSEC.xml b/Shorewall-docs2/IPSEC.xml
index 52e4423f2..b76627e79 100644
--- a/Shorewall-docs2/IPSEC.xml
+++ b/Shorewall-docs2/IPSEC.xml
@@ -15,7 +15,7 @@
       </author>
     </authorgroup>
 
-    <pubdate>2004-03-20</pubdate>
+    <pubdate>2004-05-04</pubdate>
 
     <copyright>
       <year>2001-2004</year>
@@ -29,7 +29,8 @@
       1.2 or any later version published by the Free Software Foundation; with
       no Invariant Sections, with no Front-Cover, and with no Back-Cover
       Texts. A copy of the license is included in the section entitled
-      <quote><ulink url="GnuCopyright.htm">GNU Free Documentation License</ulink></quote>.</para>
+      <quote><ulink url="GnuCopyright.htm">GNU Free Documentation
+      License</ulink></quote>.</para>
     </legalnotice>
   </articleinfo>
 
@@ -38,9 +39,10 @@
     Linux Kernel. David Hollis has provided i<ulink
     url="http://lists.shorewall.net/pipermail/shorewall-users/2003-December/010417.html">nformation
     about how to set up a simple tunnel under 2.6</ulink>. One important point
-    that is not made explicit in David&#39;s post is that the <emphasis
+    that is not made explicit in David's post is that the <emphasis
     role="bold">vpn</emphasis> zone must be defined before the <emphasis
-    role="bold">net</emphasis> zone in <filename>/etc/shorewall/zones</filename>.</para>
+    role="bold">net</emphasis> zone in
+    <filename>/etc/shorewall/zones</filename>.</para>
   </warning>
 
   <section>
@@ -54,7 +56,8 @@
     <warning>
       <para>IPSEC and Proxy ARP do not work unless you are running Shorewall
       2.0.1 Beta 3 or later or unless you have installed the fix to Shorewall
-      2.0.0 available from the <ulink url="errata.htm">Errata Page</ulink>.</para>
+      2.0.0 available from the <ulink url="errata.htm">Errata
+      Page</ulink>.</para>
     </warning>
 
     <important>
@@ -187,30 +190,111 @@ conn packetdefault
       <title>VPN</title>
 
       <para>You need to define a zone for the remote subnet or include it in
-      your local zone. In this example, we&#39;ll assume that you have created
-      a zone called <quote>vpn</quote> to represent the remote subnet.</para>
+      your local zone. In this example, we'll assume that you have created a
+      zone called <quote>vpn</quote> to represent the remote subnet.</para>
 
-      <para><table><title>/etc/shorewall/zones local</title><tgroup cols="3"><thead><row><entry
-      align="center">ZONE</entry><entry align="center">DISPLAY</entry><entry
-      align="center">COMMENTS</entry></row></thead><tbody><row><entry>vpn</entry><entry>VPN</entry><entry>Remote
-      Subnet</entry></row></tbody></tgroup></table></para>
+      <para><table>
+          <title>/etc/shorewall/zones local</title>
+
+          <tgroup cols="3">
+            <thead>
+              <row>
+                <entry align="center">ZONE</entry>
+
+                <entry align="center">DISPLAY</entry>
+
+                <entry align="center">COMMENTS</entry>
+              </row>
+            </thead>
+
+            <tbody>
+              <row>
+                <entry>vpn</entry>
+
+                <entry>VPN</entry>
+
+                <entry>Remote Subnet</entry>
+              </row>
+            </tbody>
+          </tgroup>
+        </table></para>
 
       <para>At both systems, ipsec0 would be included in
       /etc/shorewall/interfaces as a <quote>vpn</quote> interface:</para>
 
-      <para><table><title>/etc/shorewall/interfaces system local &#38; remote</title><tgroup
-      cols="4"><thead><row><entry align="center">ZONE</entry><entry
-      align="center">INTERFACE</entry><entry align="center">BROADCAST</entry><entry
-      align="center">OPTIONS</entry></row></thead><tbody><row><entry>vpn</entry><entry>ipsec0</entry><entry></entry><entry></entry></row></tbody></tgroup></table></para>
+      <para><table>
+          <title>/etc/shorewall/interfaces system local &amp; remote</title>
+
+          <tgroup cols="4">
+            <thead>
+              <row>
+                <entry align="center">ZONE</entry>
+
+                <entry align="center">INTERFACE</entry>
+
+                <entry align="center">BROADCAST</entry>
+
+                <entry align="center">OPTIONS</entry>
+              </row>
+            </thead>
+
+            <tbody>
+              <row>
+                <entry>vpn</entry>
+
+                <entry>ipsec0</entry>
+
+                <entry></entry>
+
+                <entry></entry>
+              </row>
+            </tbody>
+          </tgroup>
+        </table></para>
 
       <para>You will need to allow traffic between the <quote>vpn</quote> zone
       and the <quote>loc</quote> zone -- if you simply want to admit all
       traffic in both directions, you can use the policy file:</para>
 
-      <para><table><title>/etc/shorewall/policy local &#38; remote</title><tgroup
-      cols="4"><thead><row><entry align="center">SOURCE</entry><entry
-      align="center">DEST</entry><entry align="center">POLICY</entry><entry
-      align="center">LOG LEVEL</entry></row></thead><tbody><row><entry>loc</entry><entry>vpn</entry><entry>ACCEPT</entry><entry></entry></row><row><entry>vpn</entry><entry>loc</entry><entry>ACCEPT</entry><entry></entry></row></tbody></tgroup></table></para>
+      <para><table>
+          <title>/etc/shorewall/policy local &amp; remote</title>
+
+          <tgroup cols="4">
+            <thead>
+              <row>
+                <entry align="center">SOURCE</entry>
+
+                <entry align="center">DEST</entry>
+
+                <entry align="center">POLICY</entry>
+
+                <entry align="center">LOG LEVEL</entry>
+              </row>
+            </thead>
+
+            <tbody>
+              <row>
+                <entry>loc</entry>
+
+                <entry>vpn</entry>
+
+                <entry>ACCEPT</entry>
+
+                <entry></entry>
+              </row>
+
+              <row>
+                <entry>vpn</entry>
+
+                <entry>loc</entry>
+
+                <entry>ACCEPT</entry>
+
+                <entry></entry>
+              </row>
+            </tbody>
+          </tgroup>
+        </table></para>
 
       <para>Once you have these entries in place, restart Shorewall (type
       shorewall restart); you are now ready to configure the tunnel in <ulink
@@ -299,7 +383,7 @@ conn packetdefault
     <para>In /etc/shorewall/tunnels on systems B and C, we would have:</para>
 
     <table>
-      <title>/etc/shorewall/tunnels system B &#38; C</title>
+      <title>/etc/shorewall/tunnels system B &amp; C</title>
 
       <tgroup cols="4">
         <thead>
@@ -376,7 +460,7 @@ conn packetdefault
     <para>On systems B and C:</para>
 
     <table>
-      <title>/etc/shorewall/zones system B &#38; C</title>
+      <title>/etc/shorewall/zones system B &amp; C</title>
 
       <tgroup cols="3">
         <thead>
@@ -434,7 +518,8 @@ conn packetdefault
       </tgroup>
     </table>
 
-    <para>The /etc/shorewall/hosts file on system A defines the two VPN zones:</para>
+    <para>The /etc/shorewall/hosts file on system A defines the two VPN
+    zones:</para>
 
     <table>
       <title>/etc/shorewall/hosts system A</title>
@@ -474,7 +559,7 @@ conn packetdefault
     following in /etc/shorewall/interfaces:</para>
 
     <table>
-      <title>/etc/shorewall/interfaces system B &#38; C</title>
+      <title>/etc/shorewall/interfaces system B &amp; C</title>
 
       <tgroup cols="4">
         <thead>
@@ -575,7 +660,7 @@ conn packetdefault
     policy file entries on all three gateways:</para>
 
     <table>
-      <title>/etc/shorewall/policy system B &#38; C</title>
+      <title>/etc/shorewall/policy system B &amp; C</title>
 
       <tgroup cols="4">
         <thead>
@@ -616,7 +701,8 @@ conn packetdefault
 
     <para>Once you have the Shorewall entries added, restart Shorewall on each
     gateway (type shorewall restart); you are now ready to configure the
-    tunnels in <ulink url="http://www.xs4all.nl/%7Efreeswan/">FreeS/WAN</ulink>.</para>
+    tunnels in <ulink
+    url="http://www.xs4all.nl/%7Efreeswan/">FreeS/WAN</ulink>.</para>
 
     <note>
       <para>to allow traffic between the networks attached to systems B and C,
@@ -684,27 +770,75 @@ conn packetdefault
       <title>Road Warrior VPN</title>
 
       <para>You need to define a zone for the laptop or include it in your
-      local zone. In this example, we&#39;ll assume that you have created a
-      zone called <quote>vpn</quote> to represent the remote host.</para>
+      local zone. In this example, we'll assume that you have created a zone
+      called <quote>vpn</quote> to represent the remote host.</para>
 
-      <para><table><title>/etc/shorewall/zones local</title><tgroup cols="3"><thead><row><entry
-      align="center">ZONE</entry><entry align="center">DISPLAY</entry><entry
-      align="center">COMMENTS</entry></row></thead><tbody><row><entry>vpn</entry><entry>VPN</entry><entry>Remote
-      Subnet</entry></row></tbody></tgroup></table></para>
+      <para><table>
+          <title>/etc/shorewall/zones local</title>
+
+          <tgroup cols="3">
+            <thead>
+              <row>
+                <entry align="center">ZONE</entry>
+
+                <entry align="center">DISPLAY</entry>
+
+                <entry align="center">COMMENTS</entry>
+              </row>
+            </thead>
+
+            <tbody>
+              <row>
+                <entry>vpn</entry>
+
+                <entry>VPN</entry>
+
+                <entry>Remote Subnet</entry>
+              </row>
+            </tbody>
+          </tgroup>
+        </table></para>
 
       <para>In this instance, the mobile system (B) has IP address 134.28.54.2
       but that cannot be determined in advance. In the /etc/shorewall/tunnels
       file on system A, the following entry should be made:</para>
 
-      <para><table><title>/etc/shorewall/tunnels system A</title><tgroup
-      cols="4"><thead><row><entry align="center">TYPE</entry><entry
-      align="center">ZONE</entry><entry align="center">GATEWAY</entry><entry
-      align="center">GATEWAY ZONE</entry></row></thead><tbody><row><entry>ipsec</entry><entry>net</entry><entry>0.0.0.0/0</entry><entry>vpn</entry></row></tbody></tgroup></table></para>
+      <para><table>
+          <title>/etc/shorewall/tunnels system A</title>
 
-      <para><note><para>the GATEWAY ZONE column contains the name of the zone
-      corresponding to peer subnetworks. This indicates that the gateway
-      system itself comprises the peer subnetwork; in other words, the remote
-      gateway is a standalone system.</para></note></para>
+          <tgroup cols="4">
+            <thead>
+              <row>
+                <entry align="center">TYPE</entry>
+
+                <entry align="center">ZONE</entry>
+
+                <entry align="center">GATEWAY</entry>
+
+                <entry align="center">GATEWAY ZONE</entry>
+              </row>
+            </thead>
+
+            <tbody>
+              <row>
+                <entry>ipsec</entry>
+
+                <entry>net</entry>
+
+                <entry>0.0.0.0/0</entry>
+
+                <entry>vpn</entry>
+              </row>
+            </tbody>
+          </tgroup>
+        </table></para>
+
+      <para><note>
+          <para>the GATEWAY ZONE column contains the name of the zone
+          corresponding to peer subnetworks. This indicates that the gateway
+          system itself comprises the peer subnetwork; in other words, the
+          remote gateway is a standalone system.</para>
+        </note></para>
 
       <para>You will need to configure /etc/shorewall/interfaces and establish
       your <quote>through the tunnel</quote> policy as shown under the first
@@ -717,7 +851,11 @@ conn packetdefault
 
     <para>Beginning with Shorewall release 1.3.10, you can define multiple VPN
     zones and add and delete remote endpoints dynamically using
-    /sbin/shorewall. In /etc/shorewall/zones:</para>
+    /sbin/shorewall. With Shorewall 2.0.2 Beta 1 and later versions, this
+    capability must be enabled by setting DYNAMIC_ZONES=Yes in <ulink
+    url="Documentation.htm#Conf">shorewall.conf</ulink>.</para>
+
+    <para>In /etc/shorewall/zones:</para>
 
     <table>
       <title>/etc/shorewall/zones</title>
@@ -801,7 +939,8 @@ conn packetdefault
     a different updown script that adds the remote station to the appropriate
     zone when the connection comes up and that deletes the remote station when
     the connection comes down. For example, when 134.28.54.2 connects for the
-    vpn2 zone the <quote>up</quote> part of the script will issue the command:</para>
+    vpn2 zone the <quote>up</quote> part of the script will issue the
+    command:</para>
 
     <programlisting>/sbin/shorewall add ipsec0:134.28.54.2 vpn2</programlisting>
 
@@ -818,11 +957,45 @@ conn packetdefault
       <example>
         <title>dyn=dynamic zone</title>
 
-        <para><informaltable><tgroup cols="7"><thead><row><entry
-        align="center">ACTION</entry><entry align="center">SOURCE</entry><entry
-        align="center">DESTINATION</entry><entry align="center">PROTOCOL</entry><entry
-        align="center">PORT(S)</entry><entry align="center">CLIENT PORT(S)</entry><entry
-        align="center">ORIGINAL DESTINATION</entry></row></thead><tbody><row><entry>DNAT</entry><entry>z!dyn</entry><entry>loc:192.168.1.3</entry><entry>tcp</entry><entry>80</entry><entry></entry><entry></entry></row></tbody></tgroup></informaltable></para>
+        <para><informaltable>
+            <tgroup cols="7">
+              <thead>
+                <row>
+                  <entry align="center">ACTION</entry>
+
+                  <entry align="center">SOURCE</entry>
+
+                  <entry align="center">DESTINATION</entry>
+
+                  <entry align="center">PROTOCOL</entry>
+
+                  <entry align="center">PORT(S)</entry>
+
+                  <entry align="center">CLIENT PORT(S)</entry>
+
+                  <entry align="center">ORIGINAL DESTINATION</entry>
+                </row>
+              </thead>
+
+              <tbody>
+                <row>
+                  <entry>DNAT</entry>
+
+                  <entry>z!dyn</entry>
+
+                  <entry>loc:192.168.1.3</entry>
+
+                  <entry>tcp</entry>
+
+                  <entry>80</entry>
+
+                  <entry></entry>
+
+                  <entry></entry>
+                </row>
+              </tbody>
+            </tgroup>
+          </informaltable></para>
 
         <para>Dynamic changes to the zone <emphasis role="bold">dyn</emphasis>
         will have no effect on the above rule.</para>
diff --git a/Shorewall-docs2/Install.xml b/Shorewall-docs2/Install.xml
index 7849f1ef9..659c588c0 100644
--- a/Shorewall-docs2/Install.xml
+++ b/Shorewall-docs2/Install.xml
@@ -15,7 +15,7 @@
       </author>
     </authorgroup>
 
-    <pubdate>2004-03-01</pubdate>
+    <pubdate>2004-05-07</pubdate>
 
     <copyright>
       <year>2001</year>
@@ -35,7 +35,8 @@
       1.2 or any later version published by the Free Software Foundation; with
       no Invariant Sections, with no Front-Cover, and with no Back-Cover
       Texts. A copy of the license is included in the section entitled
-      <quote><ulink url="GnuCopyright.htm">GNU Free Documentation License</ulink></quote>.</para>
+      <quote><ulink url="GnuCopyright.htm">GNU Free Documentation
+      License</ulink></quote>.</para>
     </legalnotice>
   </articleinfo>
 
@@ -44,9 +45,9 @@
 
     <important>
       <para>Before attempting installation, I strongly urge you to read and
-      print a copy of the <ulink url="shorewall_quickstart_guide.htm">Shorewall
-      QuickStart</ulink> Guide for the configuration that most closely matches
-      your own.</para>
+      print a copy of the <ulink
+      url="shorewall_quickstart_guide.htm">Shorewall QuickStart</ulink> Guide
+      for the configuration that most closely matches your own.</para>
     </important>
 
     <warning>
@@ -64,14 +65,15 @@
       <listitem>
         <para>Install the RPM</para>
 
-        <programlisting><command>rpm -ivh &#60;shorewall rpm&#62;</command></programlisting>
+        <programlisting><command>rpm -ivh &lt;shorewall rpm&gt;</command></programlisting>
 
         <note>
           <para>Some SuSE users have encountered a problem whereby rpm reports
-          a conflict with kernel &#60;= 2.2 even though a 2.4 kernel is
-          installed. If this happens, simply use the --nodeps option to rpm.</para>
+          a conflict with kernel &lt;= 2.2 even though a 2.4 kernel is
+          installed. If this happens, simply use the --nodeps option to
+          rpm.</para>
 
-          <programlisting><filename><command>rpm -ivh --nodeps &#60;shorewall rpm&#62;</command></filename></programlisting>
+          <programlisting><filename><command>rpm -ivh --nodeps &lt;shorewall rpm&gt;</command></filename></programlisting>
         </note>
 
         <note>
@@ -82,9 +84,10 @@
 
           <programlisting>error: failed dependencies:iproute is needed by shorewall-1.4.x-1</programlisting>
 
-          <para>This may be worked around by using the --nodeps option of rpm.</para>
+          <para>This may be worked around by using the --nodeps option of
+          rpm.</para>
 
-          <programlisting><command>rpm -ivh --nodeps &#60;shorewall rpm&#62;</command></programlisting>
+          <programlisting><command>rpm -ivh --nodeps &lt;shorewall rpm&gt;</command></programlisting>
         </note>
       </listitem>
 
@@ -116,9 +119,9 @@
 
     <important>
       <para>Before attempting installation, I strongly urge you to read and
-      print a copy of the <ulink url="shorewall_quickstart_guide.htm">Shorewall
-      QuickStart</ulink> Guide for the configuration that most closely matches
-      your own.</para>
+      print a copy of the <ulink
+      url="shorewall_quickstart_guide.htm">Shorewall QuickStart</ulink> Guide
+      for the configuration that most closely matches your own.</para>
     </important>
 
     <para>To install Shorewall using the tarball and install script:</para>
@@ -134,14 +137,19 @@
       </listitem>
 
       <listitem>
-        <para>If you are using <ulink
-        url="http://www.caldera.com/openstore/openlinux/">Caldera</ulink>,
-        <ulink url="http://www.redhat.com">RedHat</ulink>, <ulink
-        url="http://www.linux-mandrake.com">Mandrake</ulink>, <ulink
-        url="http://www.corel.com">Corel</ulink>, <ulink
-        url="http://www.suse.com">SuSe</ulink>,<ulink
-        url="http://www.slackware.com/"> Slackware</ulink> or <ulink
-        url="http://www.debian.org">Debian/Gentoo</ulink> then type</para>
+        <para>If you are running <ulink
+        url="http://www.slackware.com">Slackware</ulink>, edit the install.sh
+        file and change the line</para>
+
+        <programlisting>DEST=""</programlisting>
+
+        <para>to</para>
+
+        <programlisting>DEST="/etc/rc.d"</programlisting>
+      </listitem>
+
+      <listitem>
+        <para>Type</para>
 
         <programlisting><command>./install.sh</command></programlisting>
       </listitem>
@@ -152,9 +160,10 @@
       </listitem>
 
       <listitem>
-        <para>Enable Startup by removing <filename>/etc/shorewall/startup_disabled</filename>
-        (Debian users will edit <filename>/etc/default/shorewall</filename>
-        and set startup=1).</para>
+        <para>Enable Startup by removing
+        <filename>/etc/shorewall/startup_disabled</filename> (Debian users
+        will edit <filename>/etc/default/shorewall</filename> and set
+        startup=1).</para>
       </listitem>
 
       <listitem>
@@ -166,7 +175,8 @@
       <listitem>
         <para>If the install script was unable to configure Shorewall to be
         started automatically at boot, see <ulink
-        url="starting_and_stopping_shorewall.htm">these instructions</ulink>.</para>
+        url="starting_and_stopping_shorewall.htm">these
+        instructions</ulink>.</para>
       </listitem>
     </orderedlist>
   </section>
@@ -176,15 +186,16 @@
 
     <important>
       <para>Before attempting installation, I strongly urge you to read and
-      print a copy of the <ulink url="shorewall_quickstart_guide.htm">Shorewall
-      QuickStart</ulink> Guide for the configuration that most closely matches
-      your own.</para>
+      print a copy of the <ulink
+      url="shorewall_quickstart_guide.htm">Shorewall QuickStart</ulink> Guide
+      for the configuration that most closely matches your own.</para>
     </important>
 
     <para>To install my version of Shorewall on a fresh Bering disk, simply
     replace the <quote>shorwall.lrp</quote> file on the image with the file
     that you downloaded. See the <ulink url="two-interface.htm">two-interface
-    QuickStart Guide</ulink> for information about further steps required.</para>
+    QuickStart Guide</ulink> for information about further steps
+    required.</para>
   </section>
 
   <section id="Upgrade_RPM">
@@ -204,22 +215,23 @@
       please check your /etc/shorewall/interfaces file to be sure that it
       contains an entry for each interface mentioned in the hosts file. Also,
       there are certain 1.2 rule forms that are no longer supported under 1.4
-      (you must use the new 1.4 syntax). See <ulink url="errata.htm#Upgrade">the
-      upgrade issues</ulink> for details.</para>
+      (you must use the new 1.4 syntax). See <ulink
+      url="errata.htm#Upgrade">the upgrade issues</ulink> for details.</para>
     </important>
 
     <orderedlist>
       <listitem>
         <para>Upgrade the RPM</para>
 
-        <programlisting><command>rpm -Uvh &#60;shorewall rpm file&#62;</command></programlisting>
+        <programlisting><command>rpm -Uvh &lt;shorewall rpm file&gt;</command></programlisting>
 
         <note>
           <para>Some SuSE users have encountered a problem whereby rpm reports
-          a conflict with kernel &#60;= 2.2 even though a 2.4 kernel is
-          installed. If this happens, simply use the --nodeps option to rpm.</para>
+          a conflict with kernel &lt;= 2.2 even though a 2.4 kernel is
+          installed. If this happens, simply use the --nodeps option to
+          rpm.</para>
 
-          <programlisting><command>rpm -Uvh --nodeps &#60;shorewall rpm&#62;</command></programlisting>
+          <programlisting><command>rpm -Uvh --nodeps &lt;shorewall rpm&gt;</command></programlisting>
         </note>
 
         <note>
@@ -230,15 +242,17 @@
 
           <programlisting>error: failed dependencies:iproute is needed by shorewall-1.4.0-1</programlisting>
 
-          <para>This may be worked around by using the --nodeps option of rpm.</para>
+          <para>This may be worked around by using the --nodeps option of
+          rpm.</para>
 
-          <programlisting><command>rpm -Uvh --nodeps &#60;shorewall rpm&#62;</command></programlisting>
+          <programlisting><command>rpm -Uvh --nodeps &lt;shorewall rpm&gt;</command></programlisting>
         </note>
       </listitem>
 
       <listitem>
         <para>See if there are any incompatibilities between your
-        configuration and the new Shorewall version and correct as necessary.</para>
+        configuration and the new Shorewall version and correct as
+        necessary.</para>
 
         <programlisting><command>shorewall check</command></programlisting>
       </listitem>
@@ -268,8 +282,8 @@
       please check your /etc/shorewall/interfaces file to be sure that it
       contains an entry for each interface mentioned in the hosts file. Also,
       there are certain 1.2 rule forms that are no longer supported under 1.4
-      (you must use the new 1.4 syntax). See <ulink url="errata.htm#Upgrade">the
-      upgrade issues</ulink> for details.</para>
+      (you must use the new 1.4 syntax). See <ulink
+      url="errata.htm#Upgrade">the upgrade issues</ulink> for details.</para>
     </important>
 
     <orderedlist>
@@ -285,21 +299,27 @@
       </listitem>
 
       <listitem>
-        <para>If you are using <ulink
-        url="http://www.caldera.com/openstore/openlinux/">Caldera</ulink>,
-        <ulink url="http://www.redhat.com">RedHat</ulink>, <ulink
-        url="http://www.linux-mandrake.com">Mandrake</ulink>, <ulink
-        url="http://www.corel.com">Corel</ulink>, <ulink
-        url="http://www.suse.com">SuSe</ulink>, <ulink
-        url="http://www.slackware.com/">Slackware</ulink> or <ulink
-        url="http://www.debian.org">Debian/Gentoo</ulink> then type</para>
+        <para>If you are running <ulink
+        url="http://www.slackware.com">Slackware</ulink>, edit the install.sh
+        file and change the line</para>
+
+        <programlisting>DEST=""</programlisting>
+
+        <para>to</para>
+
+        <programlisting>DEST="/etc/rc.d"</programlisting>
+      </listitem>
+
+      <listitem>
+        <para>Type</para>
 
         <programlisting><command>./install.sh</command></programlisting>
       </listitem>
 
       <listitem>
         <para>See if there are any incompatibilities between your
-        configuration and the new Shorewall version and correct as necessary.</para>
+        configuration and the new Shorewall version and correct as
+        necessary.</para>
 
         <programlisting><command>shorewall check</command></programlisting>
       </listitem>
@@ -313,7 +333,8 @@
       <listitem>
         <para>If the install script was unable to configure Shorewall to be
         started automatically at boot, see <ulink
-        url="starting_and_stopping_shorewall.htm">these instructions</ulink>.</para>
+        url="starting_and_stopping_shorewall.htm">these
+        instructions</ulink>.</para>
       </listitem>
     </orderedlist>
   </section>
@@ -342,6 +363,7 @@
   <section>
     <title>Uninstall/Fallback</title>
 
-    <para>See <quote><ulink url="fallback.htm">Fallback and Uninstall</ulink></quote>.</para>
+    <para>See <quote><ulink url="fallback.htm">Fallback and
+    Uninstall</ulink></quote>.</para>
   </section>
 </article>
\ No newline at end of file
diff --git a/Shorewall-docs2/PPTP.xml b/Shorewall-docs2/PPTP.xml
index e77fd236b..ffbee2a2b 100644
--- a/Shorewall-docs2/PPTP.xml
+++ b/Shorewall-docs2/PPTP.xml
@@ -15,7 +15,7 @@
       </author>
     </authorgroup>
 
-    <pubdate>2003-12-23</pubdate>
+    <pubdate>2004-04-15</pubdate>
 
     <copyright>
       <year>2001</year>
@@ -24,6 +24,8 @@
 
       <year>2003</year>
 
+      <year>2004</year>
+
       <holder>Thomas M. Eastep</holder>
     </copyright>
 
@@ -37,6 +39,16 @@
     </legalnotice>
 
     <revhistory>
+      <revision>
+        <revnumber>1.2</revnumber>
+
+        <date>2004-04-15</date>
+
+        <authorinitials>TE</authorinitials>
+
+        <revremark>Revised instructions regarding PPTP conntrack patch.</revremark>
+      </revision>
+
       <revision>
         <revnumber>1.1</revnumber>
 
@@ -909,14 +921,16 @@ esac</programlisting>
 
     <para>You shouldn&#39;t have to take any special action for this case
     unless you wish to connect multiple clients to the same external server.
-    In that case, you will need to follow the instructions at <ulink
-    url="http://www.impsec.org/linux/masquerade/ip_masq_vpn.html">http://www.impsec.org/linux/masquerade/ip_masq_vpn.html</ulink>.
-    I recommend that you also add these three lines to your
+    In that case, you must install the PPTP connection/tracking and NAT patch
+    from <ulink url="http://www.netfilter.org">Netfilter Patch-O-Mati</ulink>c
+    (some distributions are now shipping with this patch installed). I
+    recommend that you also add these four lines to your
     /etc/shorewall/modules file:</para>
 
     <programlisting>loadmodule ip_conntrack_proto_gre
 loadmodule ip_conntrack_pptp
-loadmodule ip_nat_pptp</programlisting>
+loadmodule ip_nat_pptp
+loadmodule ip_nat_proto_gre</programlisting>
 
     <para>For LEAF/Bering users, the 2.4.20 kernel as already been patched as
     described at the URL above and the three modules are included in the
diff --git a/Shorewall-docs2/Shorewall_Squid_Usage.xml b/Shorewall-docs2/Shorewall_Squid_Usage.xml
index 401fc5bdb..1443a9b38 100644
--- a/Shorewall-docs2/Shorewall_Squid_Usage.xml
+++ b/Shorewall-docs2/Shorewall_Squid_Usage.xml
@@ -15,7 +15,7 @@
       </author>
     </authorgroup>
 
-    <pubdate>2004-03-29</pubdate>
+    <pubdate>2004-04-19</pubdate>
 
     <copyright>
       <year>2003-2004</year>
@@ -153,7 +153,7 @@ REDIRECT  loc        3228     tcp      www              -          !206.124.146.
           <para>In /etc/shorewall/init, put:</para>
 
           <programlisting><command>if [ -z &#34;`ip rule list | grep www.out`&#34; ] ; then
-        ip rule add fwmark 202 table www.out
+        ip rule add fwmark CA table www.out # Note 0xCA = 202
         ip route add default via 192.168.1.3 dev eth1 table www.out
         ip route flush cache
         echo 0 &#62; /proc/sys/net/ipv4/conf/eth1/send_redirects
@@ -232,7 +232,7 @@ chkconfig --level 35 iptables on</command></programlisting>
           <para>In /etc/shorewall/init, put:</para>
 
           <programlisting><command>if [ -z &#34;`ip rule list | grep www.out`&#34; ] ; then
-        ip rule add fwmark 202 table www.out
+        ip rule add fwmark CA table www.out # Note 0xCA = 202
         ip route add default via 192.0.2.177 dev eth1 table www.out
         ip route flush cache
 fi</command></programlisting>
diff --git a/Shorewall-docs2/bridge.xml b/Shorewall-docs2/bridge.xml
index 36022d12b..6127c0017 100755
--- a/Shorewall-docs2/bridge.xml
+++ b/Shorewall-docs2/bridge.xml
@@ -15,7 +15,7 @@
       </author>
     </authorgroup>
 
-    <pubdate>2004-04-05</pubdate>
+    <pubdate>2004-04-12</pubdate>
 
     <copyright>
       <year>2004</year>
@@ -152,7 +152,7 @@
   <section>
     <title>Configuring the Bridge</title>
 
-    <para>Configuring the bridge itself is quite simple and used the
+    <para>Configuring the bridge itself is quite simple and uses the
     <command>brctl</command> utility from the bridge-utils package. Bridge
     configuration information may be found at <ulink
     url="http://bridge.sf.net">http://bridge.sf.net</ulink>.</para>
@@ -334,7 +334,7 @@ dmz      br0:eth2</programlisting>
   <section>
     <title>Limitations</title>
 
-    <para>Bridging doesn&#39; t work with wireless cards — see <ulink
+    <para>Bridging doesn&#39; t work with some wireless cards — see <ulink
     url="http://bridge.sf.net">http://bridge.sf.net</ulink>.</para>
   </section>
 </article>
\ No newline at end of file
diff --git a/Shorewall-docs2/configuration_file_basics.xml b/Shorewall-docs2/configuration_file_basics.xml
index 272005a22..48d2685cb 100644
--- a/Shorewall-docs2/configuration_file_basics.xml
+++ b/Shorewall-docs2/configuration_file_basics.xml
@@ -15,7 +15,7 @@
       </author>
     </authorgroup>
 
-    <pubdate>2004-04-03</pubdate>
+    <pubdate>2004-04-20</pubdate>
 
     <copyright>
       <year>2001-2004</year>
@@ -93,6 +93,16 @@
     and modify the copy</emphasis>.</para></listitem></itemizedlist></para>
   </section>
 
+  <section>
+    <title>Special Note about /etc/shorewall/shorewall.conf</title>
+
+    <para>It is a good idea to modify your /etc/shorewall/shorewall.conf file,
+    even if you just add a comment that says &#34;I modified this file&#34;.
+    That way, your package manager won&#39;t overwrite the file with future
+    updated versions. Such overwrites can cause unwanted changes in the
+    behavior of Shorewall.</para>
+  </section>
+
   <section id="Comments">
     <title>Comments</title>
 
@@ -381,9 +391,12 @@ DNAT       net        loc:192.168.1.3 tcp       4000:4100</programlisting>
     <title>Using MAC Addresses</title>
 
     <para>Media Access Control (MAC) addresses can be used to specify packet
-    source in several of the configuration files. To use this feature, your
-    kernel must have MAC Address Match support (CONFIG_IP_NF_MATCH_MAC)
-    included.</para>
+    source in several of the configuration files. In order to control traffic
+    to/from a host by its MAC address, the host must be on the same network as
+    the firewall.</para>
+
+    <para>To use this feature, your kernel must have MAC Address Match support
+    (CONFIG_IP_NF_MATCH_MAC) included.</para>
 
     <para>MAC addresses are 48 bits wide and each Ethernet Controller has a
     unique MAC address.</para>
diff --git a/Shorewall-docs2/errata.xml b/Shorewall-docs2/errata.xml
index 0d15d66df..524d5b0a5 100644
--- a/Shorewall-docs2/errata.xml
+++ b/Shorewall-docs2/errata.xml
@@ -13,7 +13,7 @@
       </author>
     </authorgroup>
 
-    <pubdate>2004-03-20</pubdate>
+    <pubdate>2004-05-03</pubdate>
 
     <copyright>
       <year>2001-2004</year>
@@ -27,7 +27,8 @@
       1.2 or any later version published by the Free Software Foundation; with
       no Invariant Sections, with no Front-Cover, and with no Back-Cover
       Texts. A copy of the license is included in the section entitled
-      <quote><ulink url="GnuCopyright.htm">GNU Free Documentation License</ulink></quote>.</para>
+      <quote><ulink url="GnuCopyright.htm">GNU Free Documentation
+      License</ulink></quote>.</para>
     </legalnotice>
   </articleinfo>
 
@@ -55,9 +56,9 @@
 
       <listitem>
         <para><emphasis role="bold">DO NOT INSTALL CORRECTED COMPONENTS ON A
-        RELEASE EARLIER THAN THE ONE THAT THEY ARE LISTED UNDER BELOW.</emphasis>
-        For example, do NOT install the 1.3.9a firewall script if you are
-        running 1.3.7c.</para>
+        RELEASE EARLIER THAN THE ONE THAT THEY ARE LISTED UNDER
+        BELOW.</emphasis> For example, do NOT install the 1.3.9a firewall
+        script if you are running 1.3.7c.</para>
       </listitem>
     </itemizedlist>
   </caution>
@@ -65,7 +66,8 @@
   <section>
     <title>RFC1918 File</title>
 
-    <para><ulink url="http://shorewall.net/pub/shorewall/errata/1.4.8/rfc1918">Here</ulink>
+    <para><ulink
+    url="http://shorewall.net/pub/shorewall/errata/1.4.10/rfc1918">Here</ulink>
     is the most up to date version of the <ulink
     url="Documentation.htm#rfc1918">rfc1918 file</ulink>. This file only
     applies to Shorewall version 2.0.0 and its bugfix updates. In Shorewall
@@ -75,9 +77,75 @@
     url="shorewall_setup_guide.htm#RFC1918">RFC 1918</ulink>.</para>
   </section>
 
+  <section>
+    <title>Bogons File</title>
+
+    <para><ulink
+    url="http://shorewall.net/pub/shorewall/errata/2.0.1/bogons">Here</ulink>
+    is the most up to date version of the <ulink
+    url="Documentation.htm#Bogons">bogons file</ulink>.</para>
+  </section>
+
   <section>
     <title>Problems in Version 2.0</title>
 
+    <section>
+      <title>Shorewall 2.0.1</title>
+
+      <itemizedlist>
+        <listitem>
+          <para>Confusing message mentioning IPV6 occur at startup.</para>
+        </listitem>
+
+        <listitem>
+          <para>Modules listed in /etc/shorewall/modules don't load or produce
+          errors on Mandrake 10.0 Final.</para>
+        </listitem>
+
+        <listitem>
+          <para>The <command>shorewall delete</command> command does not
+          remove all dynamic rules pertaining to the host(s) being
+          deleted.</para>
+        </listitem>
+      </itemizedlist>
+
+      <para>These problems are corrected in <ulink
+      url="http://shorewall.net/pub/shorewall/errata/2.0.1/firewall">this
+      firewall script</ulink> which may be installed in
+      <filename>/usr/share/shorewall/firewall</filename> as described
+      above.</para>
+
+      <itemizedlist>
+        <listitem>
+          <para>When run on a SuSE system, the install.sh script fails to
+          configure Shorewall to start at boot time. That problem is corrected
+          in <ulink
+          url="http://shorewall.net/pub/shorewall/errata/2.0.1/install.sh">this
+          version of the script</ulink>.</para>
+        </listitem>
+      </itemizedlist>
+    </section>
+
+    <section>
+      <title>Shorewall 2.0.1/2.0.0</title>
+
+      <itemizedlist>
+        <listitem>
+          <para>On Debian systems, an install using the tarball results in an
+          inability to start Shorewall at system boot. If you already have
+          this problem, install <ulink
+          url="http://shorewall.net/pub/shorewall/errata/2.0.1/init.debian.sh">this
+          file</ulink> as /etc/init.d/shorewall (replacing the existing file
+          with that name). If you are just installing or upgrading to
+          Shorewall 2.0.0 or 2.0.1, then replace the
+          <filename>init.debian.sh</filename> file in the Shorewall
+          distribution directory (shorewall-2.0.x) with the updated file
+          before running <command>install.sh</command> from that
+          directory.</para>
+        </listitem>
+      </itemizedlist>
+    </section>
+
     <section>
       <title>Shorewall 2.0.0</title>
 
@@ -95,11 +163,13 @@
         </listitem>
       </itemizedlist>
 
-      <para>The first problem has been corrected in Shorewall update 2.0.0a.</para>
+      <para>The first problem has been corrected in Shorewall update
+      2.0.0a.</para>
 
       <para>All of these problems may be corrected by installing <ulink
       url="http://shorewall.net/pub/shorewall/errata/2.0.0/firewall">this
-      firewall script</ulink> in /usr/share/shorewall as described above.</para>
+      firewall script</ulink> in /usr/share/shorewall as described
+      above.</para>
     </section>
   </section>
 
@@ -111,118 +181,12 @@
   </section>
 
   <section>
-    <title>Problem with iptables version 1.2.3</title>
+    <title>Problem with iptables 1.2.9</title>
 
-    <para>There are a couple of serious bugs in iptables 1.2.3 that prevent it
-    from working with Shorewall. Regrettably, RedHat released this buggy
-    iptables in RedHat 7.2.&#x00A0;</para>
-
-    <para>I have built a <ulink
-    url="ftp://ftp.shorewall.net/pub/shorewall/errata/iptables-1.2.3-3.i386.rpm">corrected
-    1.2.3 rpm which you can download here</ulink>&#x00A0; and I have also
-    built an <ulink
-    url="ftp://ftp.shorewall.net/pub/shorewall/iptables-1.2.4-1.i386.rpm">iptables-1.2.4
-    rpm which you can download here</ulink>. If you are currently running
-    RedHat 7.1, you can install either of these RPMs before you upgrade to
-    RedHat 7.2.</para>
-
-    <para><emphasis role="bold">Update 11/9/2001:</emphasis> RedHat has
-    released an iptables-1.2.4 RPM of their own which you can download from
-    <ulink url="http://www.redhat.com/support/errata/RHSA-2001-144.html.">http://www.redhat.com/support/errata/RHSA-2001-144.html</ulink>.I
-    have installed this RPM on my firewall and it works fine.</para>
-
-    <para>If you would like to patch iptables 1.2.3 yourself, the patches are
-    available for download. This <ulink
-    url="ftp://ftp.shorewall.net/pub/shorewall/errata/iptables-1.2.3/loglevel.patch">patch</ulink>
-    which corrects a problem with parsing of the --log-level specification
-    while this <ulink
-    url="ftp://ftp.shorewall.net/pub/shorewall/errata/iptables-1.2.3/tos.patch">patch</ulink>
-    corrects a problem in handling the&#x00A0; TOS target.</para>
-
-    <para>To install one of the above patches:<programlisting>     cd iptables-1.2.3/extensions
-     patch -p0 &#60; the-patch-file</programlisting></para>
-  </section>
-
-  <section>
-    <title>Problems with kernels &#62;= 2.4.18 and RedHat iptables</title>
-
-    <para>Users who use RedHat iptables RPMs and who upgrade to kernel
-    2.4.18/19 may experience the following:</para>
-
-    <blockquote>
-      <programlisting># shorewall start
-Processing /etc/shorewall/shorewall.conf ...
-Processing /etc/shorewall/params ...
-Starting Shorewall...
-Loading Modules...
-Initializing...
-Determining Zones...
-Zones: net
-Validating interfaces file...
-Validating hosts file...
-Determining Hosts in Zones...
-Net Zone: eth0:0.0.0.0/0
-iptables: libiptc/libip4tc.c:380: do_check: Assertion
-`h-&#62;info.valid_hooks == (1 &#60;&#60; 0 | 1 &#60;&#60; 3)&#39; failed.
-Aborted (core dumped)
-iptables: libiptc/libip4tc.c:380: do_check: Assertion
-`h-&#62;info.valid_hooks == (1 &#60;&#60; 0 | 1 &#60;&#60; 3)&#39; failed.
-Aborted (core dumped)</programlisting>
-    </blockquote>
-
-    <para>The RedHat iptables RPM is compiled with debugging enabled but the
-    user-space debugging code was not updated to reflect recent changes in the
-    Netfilter <quote>mangle</quote> table. You can correct the problem by
-    installing <ulink
-    url="http://www.shorewall.net/pub/shorewall/iptables-1.2.5-1.i386.rpm">this
-    iptables RPM</ulink>. If you are already running a 1.2.5 version of
-    iptables, you will need to specify the --oldpackage option to rpm (e.g.,
-    <quote>iptables -Uvh --oldpackage iptables-1.2.5-1.i386.rpm</quote>).</para>
-  </section>
-
-  <section>
-    <title>Problems with iptables version 1.2.7 and MULTIPORT=Yes</title>
-
-    <para>The iptables 1.2.7 release of iptables has made an incompatible
-    change to the syntax used to specify multiport match rules; as a
-    consequence, if you install iptables 1.2.7 you must be running Shorewall
-    1.3.7a or later or:</para>
-
-    <itemizedlist>
-      <listitem>
-        <para>set MULTIPORT=No in /etc/shorewall/shorewall.conf; or</para>
-      </listitem>
-
-      <listitem>
-        <para>If you are running Shorewall 1.3.6 you may install <ulink
-        url="http://www.shorewall.net/pub/shorewall/errata/1.3.6/firewall">this
-        firewall script</ulink> in /usr/lib/shorewall/firewall as described
-        above.</para>
-      </listitem>
-    </itemizedlist>
-  </section>
-
-  <section>
-    <title>Problems with RH Kernel 2.4.18-10 and NAT</title>
-
-    <para>/etc/shorewall/nat entries of the following form will result in
-    Shorewall being unable to start:</para>
-
-    <programlisting>     #EXTERNAL&#x00A0;&#x00A0;&#x00A0;&#x00A0;&#x00A0;&#x00A0; INTERFACE&#x00A0;&#x00A0;&#x00A0;&#x00A0;&#x00A0;&#x00A0; INTERNAL&#x00A0;&#x00A0;&#x00A0;&#x00A0;&#x00A0;&#x00A0;&#x00A0; ALL INTERFACES&#x00A0;&#x00A0;&#x00A0;&#x00A0;&#x00A0;&#x00A0;&#x00A0;&#x00A0;&#x00A0; LOCAL
-     192.0.2.22&#x00A0;&#x00A0;&#x00A0;   eth0&#x00A0;&#x00A0;&#x00A0;         192.168.9.22&#x00A0;&#x00A0;  yes&#x00A0;&#x00A0;&#x00A0;&#x00A0;                 yes
-     #LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE</programlisting>
-
-    <para>Error message is:</para>
-
-    <programlisting>     Setting up NAT...
-     iptables: Invalid argument
-     Terminated</programlisting>
-
-    <para>The solution is to put <quote>no</quote> in the LOCAL column. Kernel
-    support for LOCAL=yes has never worked properly and 2.4.18-10 has disabled
-    it. The 2.4.19 kernel contains corrected support under a new kernel
-    configuraiton option; see <ulink
-    url="http://www.shorewall.net/Documentation.htm#NAT">http://www.shorewall.net/Documentation.htm#NAT</ulink>.</para>
+    <para>If you want to use the new features in Shorewall 2.0.2 (Betas, RCs,
+    Final) or later then you need to patch your iptables 1.2.9 with <ulink
+    url="http://shorewall.net/pub/shorewall/errata/iptables-1.2.9.diff">this
+    patch</ulink>.</para>
   </section>
 
   <section>
@@ -233,24 +197,151 @@ Aborted (core dumped)</programlisting>
     --reject-with tcp-reset</quote> is broken. The symptom most commonly seen
     is that REJECT rules act just like DROP rules when dealing with TCP. A
     kernel patch and precompiled modules to fix this problem are available at
-    <ulink url="ftp://ftp1.shorewall.net/pub/shorewall/errata/kernel">ftp://ftp1.shorewall.net/pub/shorewall/errata/kernel</ulink></para>
+    <ulink
+    url="ftp://ftp1.shorewall.net/pub/shorewall/errata/kernel">ftp://ftp1.shorewall.net/pub/shorewall/errata/kernel</ulink></para>
 
     <note>
-      <para>RedHat have corrected this problem in their 2.4.20-27.x kernels.</para>
+      <para>RedHat have corrected this problem in their 2.4.20-27.x
+      kernels.</para>
     </note>
   </section>
 
   <appendix>
-    <title>Revision History4</title>
+    <title>Revision History</title>
 
-    <para><revhistory><revision><revnumber>1.6</revnumber><date>2004-03-20</date><authorinitials>TE</authorinitials><revremark>Proxy
-    ARP/IPSEC fix.</revremark></revision><revision><revnumber>1.6</revnumber><date>2004-03-17</date><authorinitials>TE</authorinitials><revremark>Action
-    rules are reported as policies.</revremark></revision><revision><revnumber>1.5</revnumber><date>2004-02-03</date><authorinitials>TE</authorinitials><revremark>Update
-    for Shorewall 2.0.0.</revremark></revision><revision><revnumber>1.4</revnumber><date>2004-01-19</date><authorinitials>TE</authorinitials><revremark>IPV6
-    address problems. Make RFC1918 file section more prominent.</revremark></revision><revision><revnumber>1.3</revnumber><date>2004-01-14</date><authorinitials>TE</authorinitials><revremark>Confusing
-    template file in 1.4.9</revremark></revision><revision><revnumber>1.3</revnumber><date>2004-01-03</date><authorinitials>TE</authorinitials><revremark>Added
-    note about REJECT RedHat Kernal problem being corrected.</revremark></revision><revision><revnumber>1.2</revnumber><date>2003-12-29</date><authorinitials>TE</authorinitials><revremark>Updated
-    RFC1918 file</revremark></revision><revision><revnumber>1.1</revnumber><date>2003-12-17</date><authorinitials>TE</authorinitials><revremark>Initial
-    Conversion to Docbook XML</revremark></revision></revhistory></para>
+    <para><revhistory>
+        <revision>
+          <revnumber>1.12</revnumber>
+
+          <date>2004-05-04</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Add Alex Wilms's "install.sh" fix.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.11</revnumber>
+
+          <date>2004-05-03</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Add Stefan Engel's "shorewall delete" fix.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.10</revnumber>
+
+          <date>2004-04-28</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Add iptables 1.2.9 iptables-save bug notice.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.9</revnumber>
+
+          <date>2004-04-21</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Debian initialization script problem. Deleted obsolete
+          sections.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.8</revnumber>
+
+          <date>2004-04-20</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Updated RFC1918 and BOGONS files.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.7</revnumber>
+
+          <date>2004-03-20</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Proxy ARP/IPSEC fix.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.6</revnumber>
+
+          <date>2004-03-17</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Action rules are reported as policies.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.5</revnumber>
+
+          <date>2004-02-03</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Update for Shorewall 2.0.0.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.4</revnumber>
+
+          <date>2004-01-19</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>IPV6 address problems. Make RFC1918 file section more
+          prominent.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.3</revnumber>
+
+          <date>2004-01-14</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Confusing template file in 1.4.9</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.3</revnumber>
+
+          <date>2004-01-03</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Added note about REJECT RedHat Kernal problem being
+          corrected.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.2</revnumber>
+
+          <date>2003-12-29</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Updated RFC1918 file</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.1</revnumber>
+
+          <date>2003-12-17</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Initial Conversion to Docbook XML</revremark>
+        </revision>
+      </revhistory></para>
   </appendix>
 </article>
\ No newline at end of file
diff --git a/Shorewall-docs2/images/State_Diagram.png b/Shorewall-docs2/images/State_Diagram.png
index bdb3aad02d11f8e1a2933769add8ffc11e1d6868..929b0e5f591a976a8a3690abc678b95abee313da 100755
GIT binary patch
literal 28375
zcmeEt^;cU>v^G*o2`p$!ky0ovZbgb~kfJXXcL`2$FHUfZ6n6_wad$~^C{A&Af>Q{V
zkmPc|zv27wp0&=JHT&#&W}m(0%shMcoG7)g@&GCT78VvjQQ?aQ78VZb=}v!v`y^rV
z!lQaBu-!G}rLk%zsgIs2&upYrq_D8+;|U+l@Sf@)EEF_Uu&{iYu&{!{u&@wMq97O+
zmM1qB*0CuTmPiH`7KKYrhq@RR7A}^WvX<<V!iyI#UcP)uNl8gfP5t4+2L=WP78Vu`
z4i0W^ZazLfAt50#F)>L=$uD2NC@3f>D=Vw1scCC#>+9<q8ylOMnORv`+1lDVIy$<#
zx_Wwg`uO++1Ox;J2Zx7;M@2>b{P{C6F)=kYH8V3aH#fJSprE9rq@tptrlzK$p`oRv
zrK6*xr>Cc{uWx8*=+B=&larIPv$G2e3o9!t8yg!tJ39vl2gk?9=jZ2FS68>Uw-^lO
z$>#sN{?7ydUp$~}Oqhv<Wv`_8MM}%t<jk1RB3oo?av>!xwW^3_Oqw@MMkc$d%A$Y^
zr1>=RZp0f#tJ{Oy--b--X9YRLKI)}e>7UmL<nrNfJdy^YCJCT^$m6ZwOCn|hO)%j0
zP?@gt40s1i=xFh&oSgvgaBUW12C%1lB!spMv#i?&q96QYK5h@Q7u2^k{TUYc6(Zu&
zJdZq?RvKKKxyXpKuw}9+Xu&hmMd}6Tlaf|n@$~B#HN@_m<e&&XAsVmi78nPz;zwtW
zJ^fpr-5xjRpkSbVixm;XPjXaq#9)+`gd8|lXBe_d^A3<;Lsg1TE>vKJC_OOM#!7e4
zh^AYudkjAX9azL!<Dgw7bpKLMcSNX_YN=G8>NZ;`Rp`bBmRS%O%jIt_I1C?SO=K0k
z#X*sCzFo<Y&B7+L4Mtl@1fyjof&=?qT$+n15`C0o0^io~vrP3JSlH9>oG?z<)FiGk
zx7Q>-m&uAJDS4630mtcRkOW@7Kct_qNsYe}fw6OJ$+Bh{z}Z*0_jSkc6MlXxzmv!Q
z2w}et3zR2JzzUdPI<s-Kqdqi*q3CD}Hn~}13hFMMXFw9;a{+}U;^9-iWzSC`?_h!=
zRH{59f&iJ6_)Wco-Q5U<Pl$QPOU>HMX@49Qp-$|kFtkFEK9>BY^zABPCrLVrLk?pg
zL1(<b+W_*RDAc)y2t8VK1JkDKPY<a?7a!7LcS0KzdKY)(z8E&z#G0#DhzBAw_qUQf
z)~ztzDycs;Ut<Gnag&K1L_Ur>3x?sba6dH>X_+FLAUvH+8S`?sz1H8Cv2oRT;8^lE
zrMXg9(z<151e?U5_qyyD_WKTS8%s;|!?ZH4Gx19{v#H#z-Tb;07e2U!XY9!TaC(*T
zpK7F)1j+TPRnK$~*E5!8#)9ZI`<Ytv$|g^?NZe0|v2Azc8#3YPLeQWNYyH>iNcX65
zC)yH9{3mxVd~ozs+LMeyzs_8js9+-&Tf0zRm_I)mG!CeU#$BCSue{sruGAcDVG?#R
zB|*f<JoF@;1fj1Nsf9Mk3y7Z}$`Vjd9>jJ^<bOL=nDo~$u{OEpv^z^R2JI1B#qRk4
z!vH<?nki7N?02yPtJg)<-55U;z7^tkE(wgogkKSso<g+>Dnl5wu3H5zg5oD`{8^mK
z!qQT6SJ4^uPnPn(U-pO_ltsUP@4IHzyL)-KS}N6AAK?4Y#enDc$L}v&$Zh=mw;5=q
znMv5hFq1P7;*W_d*gO%!&cS?RUXug9>O>1B0e(4!5xdmmhQMGKpFb%n>TrAgw$t<_
z{=yi8#>`9I5_WHv<xVUecP(|g2eq4fK{tB^Ch6-x(Yg7q19Ixga4po88bZ1a!lo5S
zCi~o*V4J<>!GZNs*rE${H<8mL0XmB9!2*3ZAIJFl3p@s3fGsjYyl;w9f%WyZC+19M
zq-q4H8oci4Fab-6vfT#SP4C2Pn9W$oE|Qio&Wo8WE-gabl)CGRuK^szh5wfexp=z0
zO_|yTT-D5%Mx*5&B#aWHG`rkCy<EK!hsiYg0bDu4CV9>%<1%RRvuHS2w_u;X|M}-H
z=Bh`EpjkniUVi!;`!{jJc_&N$5|odT>5X~nNe4`un}lML!=%4M4nJ)2>mhH6V=)NC
z$x!RrVy)sO5Y<qK;5QDa#YKcq$UE#9g`|<-xldRvn0GRp34YDK-X$9}kAJsc#IS?y
z0{7zf{o(Xsi1;x#Tg+|9T$AQP_k{Ff9<_fUtj<lVzLJuLi-V#r2L?Xe`#;=?;OWQ%
z(c7PU?rSwM^M^3h-R>|D<H>!0hX*{`I00g0{kJ!d#$xWH#I%@tpj#&=@#;C)t;a!V
z%76BM)ke%^+!OADUfwU^x6XN)=V>bZ)stVz*Bfh{zNg4Pd{?|Utt#vH`0AuFaw23f
zfCtXO-bCZX_37o;B#AWCVW>?UW^s{=3-lb=(}liATs~U4xL+goPqxM;;@`c#BLP7r
z{4<H4lN^RFasdPV@qR-e?-3T4`{7>s*|djTcO%#PscvX2gmYk5Tn|xC96A8?FFswV
zoESzS010o|Ayk$TEDOtZzPHYN2aA^p{^ZgrRX;9o75#8-0$=^mvN(e&*xC<x#YbN=
zjc<RXh@*dA0+LbU5<EN<+-{7+FduSlGvpBU)k6E#ATTGPd#Z@TFZ`5SI1)V({n^}2
z&q-+nyDl@&XYP7`58k=wkqSCr9zF^`dd1NeYAJb2LNjhU{^eO}_$b_77hugF{+$gU
zI4~j^U1}_CbWr2Crjdtke&n}SxqeW)JeEjD#Q>UN>HQKGIH)e%wJ=2Ejc8K`B51nS
zEAcrZOp^Ay;0!R|4@B?}+9~3TGwrNS;@$pG;WZ-*la{BYqb(UVrBf<_1DCT7AQu^B
zp%E~XH>>H=A{qmL7ds058v!AR($hnGoQ!|b564V{bfBuQ>IVT0kh|80j?+yJZ%>f&
zn=j#NrsC$-hnpd9|D(n*eo10sK0>X|_HU`)ujRf(h#S!}Tu1}!(1#=i7~w~EnYujF
zAW8!e!6h}SKk7XU>|HBGK&oyxF-@EB-rR$nTmjdWt8Eexu*!`!mztW#;u>}EjQd$N
z%PBEOUW~uFcYZmX91%raM1ZF_NI#(0|JS;=5=jd%f#lnK8DO=d#pJ3VXC-fT{0FuH
zdpH;3E~(Z?xORf!qYm7^0fl`Ov;NkI%lLC?<}6raCfd&&J=Cpu*IEV)p!r&LPP<1f
zZIgvUi!>_x=K_?~*~m2Tm!a@$SCwZ~Ok!$p?DY<0V+kWUMLxPOK2jQu)wLl=MX=68
zLWITAJagimuKQmev>m(qbM*wpafY>+$$#X$I{eq9etCtq?)4|ARw)<e4%~)804ihs
zv^2CEra@ENE(Zpoz(zCf>q}A^EHAOgfk?p@dC&7nA{v(=y+OZ$eshr{5uo>OZ7@0y
zQcxs0^VOGfekrh>K<S9uKwnC=OWVksD%M<&;6UPWC}&u^rLS^UGjRj(_L{YrUtrD0
z%@+sa*~BW2-v_SbTcBMGEI}eHnTmD4t<Kf!JNr5@jRsq-=OlLrI((h966|dAgfkB~
z3p6ClgB$;8Rkpsvj7IFk+YRB1fDb=wsw6QU&=vEqnz(Dg3>ii^zF*4*_-!h56^JB#
z2bhyKae9m-*7KP@a<`eKz1>*xD)QovlqPMOlz`jFo0BoV!AX##=#a!1V<cYW1cF~b
z^9nfC^gRGEqeO!P(bxMMNAW@p7f7$(F&YJs$@zucqzuIEr+G*x=lQ8BTLI92C08z4
zTrj0)?OQ(iwHv1G^kS*#yxURY@%VWu%5-IFeWqKYw`~0*9C%Ws?sYYdM~3*qJxhD~
z{wD>ZU*-;}aB+jX9tcCdenuiPbE?8t0H*y9$vE6Ta_BmURXkJT2KSR}K+)vibVyyi
zL*GJuHd-$NM&NmoNcjGuU?D;d=ow4;9yPnG`ew@q3eU)w$eJ>Nr+2UOrXQw8Yvv5*
zj7-|Of>=59|8{uu-5ey^8Xy@=e>4XFNr|(-a3$T*VBmh;ciqUl3$Jcu<>tI6$`FdV
zbKdMnZTvX*^L^ATvxmn_t3tryg%^X*#M#`O*{;vxw#;g~p%6l<G0tLTxG2-tOXa#g
zY7QO25lpCX;wZJK$K9X@0Z|&pZUnn!0EQm{z4J8fLN20_Ud5|0;+p>;;?lmfAjD=m
ztZedkLC+V=Ghp87P(H>hX~O=`%$pFjOKa1PI)n0a>Zy-&;`p3jdt`RjOS<#k2mGXd
zB9vMGt<rCO{14`3{8vzAGj}S$>rc6KV6w{gepoD70p@D;Y#-vhiReDJfG%PdFn&I(
zQ2&9$GsXf8NskAlYfSGJXmSe;K(2P9z8}r-(@AZNfq10uZWB%+WU~qy;peF+_x*(2
zVrdOAp(NXtUVTT=S*?D3r%OG+i~1Hay~(*3TLWfo!ACyi7!g41bm#?}@DD;b{e+`m
zTxbrzU$jvR8P#|sB;pknHaaa1Z4;-3No42U*c^s}X~q2?Z;WbQi@Qzy*zBWuc?D91
zUq@{g6Xk5({SDcQ`gT_;k`LTChCFiv%)AK>ETix1a431<CwfMS+H0Yrf&rGg<KGr+
z&w2^jYMzpZ?goYjA_(YKvJQ$!xsOHFejL0~${#DSli=`X6`sdN0S6)=w4k0?@@((`
zasE%x&hSe^svW+2FL3CDql|;+3+KEeUjG9_@DAMndjG&o{?)c_PcNN48xAU?=-eZZ
z2~?thYf7-`?+%P~lw76Gf2lt8;uE#8_X|`L7jKg|J-3ly2z&cNA@m2+n(l$ggnT}x
zl0S3c-K@E(n<QA_y#V&$C<3+G_Z3oW>=EoV(%LZdJYUwW6IyS9vnt*?tE;LFzp$W5
zKQFH3riDQoM?M#P%v7_~+xsfxpjPw{bVe-=Jm?`NRE8<Y?V0{neP{qb8a2Sc54ub}
zBtUy0VlWM2D&W`f4btZz^v?WUf1PMC4UuZ&Z=|@lFV!^73OuNr(0_MwvEV3RkcnXJ
zH^?DMl1V5KLmuXTJ#bnsdYvaE4t;#LKViK<t2<loFK(C_n`=k@{nC^oKJ-Iu-ZrJl
zHz9JOw6@cSh)^1QrXD);S8!kaRY?k8jMB9fr)9pe!&15;klThu|N1Qu_5a*XjGtP9
z@h|?06>D&C`3iHQ3hv-+sT2Pm>9puOXA7E|f`H-j=@$XJ#?}X!s!M-w-)$;it1s4f
zpUr&6JNKdWek|{VcK)+MofJh8C;!Jric)hk>PZzgy(fKs|KpN|qI5cCrxv^Cs`G`6
zI7m<UUwF-o7PiGR%<~e+kNaE=zz%ZS*&}i&&*|SLgckT2o*|NtQOS38I9lK2y>==E
z-i$LF!6pK;;^UcINHUOE67m?*A8Cr<h9Rt;^IcpQ@T|@Hzg>E4;06X4PM<AIo_;f&
z3Go0;*K=xcBC;==0$>;DhuyP?dsIA7RsVVH6F%3S2IIwo>)oc--3=Hs{VE6C4F=lk
zlhC0yq32LA5FCO-i@E9O4hNm6;@|mNe8qZgSwJn4DhvE4jEWNf0`!qWq}-Bzx-Pvf
zT_2x*CYJU{%q77%z~bUR#qH#eK}4F}%MD-F1U#$k;(4^68oskfSQ~9T$laYEs!E-p
z+DfU9G|ok{_ujVXUbMc@3B23igi=WAU;^(h&NrbLk1hDQsPDkN87}HCM)LY4{l5Zy
zZc*_BY!nwv1pW};F$#Sjuu*`&U5fs|so6u0x>CvDVV1|hu8xkb{$0JNyzBHrH}89)
zkpFGAT|0M3aPIoum3dh_#J4#;q{&j$I-hsmsjeeEw(jhM1J8?|=2cWDF?g|)Q!Ljv
zppn)CiZ8M-usuTY%;VL$DqLzY%_P9s$p5^LwBntRFSP7$837dQDqi}d3-+lOG`su$
zbNlrB+Zd&D)4W#%%ozb<jF&i*Fr4QSla~-+!{w0)BK@(i<iAbVWw6I5BW5_EfzhpV
zT~aRFJU*)T8dYm^b;#uX_5If49Z{78))IEl?g{M*wG=IhefEd8P<GT1bQD+ps~ln3
zB7U|L9GQ~`Diy^yHct+P;tbUwPfXkYG<>JlE^;d~kipPs(F6x#<xFGlu~7>pH|%oI
zd`7sT$`{}>G~3N+3IEhUWGs%xkr3fRda%lud=nBEEni25_d<CR^y|hzAn51h<^J(o
zNKLrv-POZv0NUr)|Ka4}Jc)DnkiKS9%y1#&Z^+)VTY1o%a-3JGzRf3?1r(pdJ$ygQ
z==@6(IO$v95yxKNki#>hJL<5TD;azp)HJ=lP429BU$9?*j}OYh*u*$a7Y3EaZ|mss
zM|*zvoDju32N`$lHrkK9ZaUYNnZYCh`Tk?6S6(Ba5b!%U5ONG9@BX&j8hA8?UGFFk
zjQ_ZCtpc9ko-xUux@(~L?e1fe8B50L@M7t|9&!JVg29d8Ofu!$Dj68`!Or;c4+U~+
z>J!2}7!fC(#P2Pk)fYYyoE~qxNP*f7MYaxO#P@pQJIP^Fb!o=N3;r&-zfzXM0h50&
z9V>YdwC<62i8xO&ubJn|$;-VjZ4*%nZFRPsT`S5zolSYFQ*5RWwURjoV-4XKrl1t;
z(0QwgkkC0F-19zifS}-cpH9F2#l5S6o3G*otnc$_?hRV8Ij{`iYUXd})EhXu1zEsG
zwN_w>Xp3hN&h~Abw##A!oSm-)JW@4G%qVRgdUqqqpF-?+gctN&0)ZJRIp|;g$KAe|
zx;Of{cQSKk4#sw~g<#$PP_+)cE}T=9ga>owhfD1GaMj}v$a=r(h;jq1i2<U3wnVuY
zTfb({RV2J@I7yRc8mxJ1$@0WL;<z`#l*AJo+L5!e@ntG-l7T@Jl4rWz8>T}3mjU6E
zT(&b%T)s~T5_s|3JyErQg(J9cYyb9u>bL$O&b}EJ@70rBFA?91Np;io&HwEf$Qf_O
zX{_Za?s8FeSL)!&oqk9*G3^Bw>st7@7b)|NFVpA&ceDNEDEHa~e6RKK!_bdPb*G9;
zD`1}m7vjQA%3?YEO=RE?WZ=bhSsuUtpLxjkyjSF6_vB$7f5kKMAF66@6?^<%xKG-k
zF|rrJ;?*zV_`4DmcQqItg$FHIHt;=Mq+|d7B3#_UruP%VtA22bAby`bS<tO;)c7LV
zsl7cKiAp6J@?IOP)-)Ad^}TPhoWZE!FUJQt@+%7$V%BN1Y;3HL`Z6ZopZh|lRG7Dw
zMNZh$<Ismy{F7W5lZjytLx#Ppt{lqiV*?6^Z@*%xtz&6N*VpqJiR_}C;hcZnx^8we
z5W+dHH%SDpbl1pYu<HgbyUS4Ds%1W8y<>2pSQf)Mz9fs?H0{<{h#720Sdz!KYI(-K
zpQfmGb*;2`GP`-$estGNBL2VdDw2WP^RvUs&ZMR@KC%EB!$S&Gq<O5Ag_n_=uhRAT
z;OzN45^^1EF<LV6`M+PHB!l{VR_rY!g6_`1%w4+UJH5~M!=93u)`rZavFl>VTeJ&O
zpViZ5%22s#N?h<R$~y*4b1Lx`j*Do;vnA6A_-D!l1((LV<vwrCn&ONAch*`c#R&fR
zi;x6$8F9C@Q6AV3(8Mb_A2$8eqDGl?(~2;yy^8ciD)+N)B8+0$a!X%-ZfYzDlo%<;
z?IMnhO;r8v1Cbp!v0NHiGJ%hg=|YUAKl+A`(~X(+o+v;m_a*RI%Fd6)_W5QozFs=N
zAM5vYasiW0%#2SlPQ0ir9B2g5yx)IbjDLMv(-vO$oEtX6o<oiJc<W5oAY>z}x0eI@
z8KaLsX3$Kv2jqbZ%AeNO-I(X<18US3u^yTEPaHFrK)ol9{+>J<!$}(WYcV2uai`9O
zOQ3Bc%`GWWT!qz(ug_5GjZG-y>PHC?=!7lc!>1p1|AAk_;-9PVTu~1#hi=$UhxLR>
zc;djo&69Fv=4AhBxrP|?OIhQ;i6KH)uao=wi2`z&em80!UF!Rq_s?8pBV@>L=Xki_
zT~cAZ1IK!INhfRH;J_PS<|DwRfCzHoC}%E#dC`$779AB>tp=lPKS-P`@e+X;62f?H
z`N>hcgx6tbVC?Xe9y@Ie>CH7km64Yu4Jlp4I(R?wdD9q_IXZBDYiU7VmY7fHT0L>u
zG55``WK7^7RdMy#DC%!BAiBm?dDfv|a#S?Gf?@7!VKo54ENM%=lhxDTFv_SFS>#W>
z6~=dK-;=K)fk5>N6IZ^*e>eNj(FT=l6klzR@9pV&Z%KkL^ikjArPWmRMTJ2-3|waF
zU!>wBTk~+Fv;88=Gu-yoO`b5q2NT+Lhdk`i{5zQXc?KgOwn`%o2<DsG%9v+r7T!9c
z@Dg2|3hgB9P7_g!g3%g(_`KEwkLx_^>-qyD@$JT~p^v<%K$w&iV1n12NJ?6_9~87X
zn{Rx(#hKOvP%Ym{gOa9cjTuc<_}YGzqnGYCctlj|RCWr!?^II5@pVUWCdX^+$|VG7
z9xqT*4Z76ulalVV5cKGL91qW>7yL)7NhOK_*C0yEdC_UMtbK9xQEAg3V<zOkgcn>K
z|0lGD2p&JK62<NAOOYG5(Ruv)5;GI6CipK=p8l8d&}qgH)Fc1|tmxWF`PDepy>aH^
zP52^*gpK<AKS^jakHe(PeP1rrbf)qGW`p|4O?@8OQz*cf1?ns_#=S!?26l^dm9ucW
zvK(Zgc0K1r8!J{KwZsq?Is7`^Srmr&7hleAB04Z0>;4M!hX5PhQIE|1ciqM`Dd^f&
zcI1p+YXuJlSsXfYRr^2smETUa5$SpDLk;SE!a4yTv^KMPj>=shD#}i|wkGd0#Jebo
z$$z5LH<S(`)O9~pI2TGgQ3H)t<{7hT9b3OUl})iQ27On&v+QbMfE?yzUTN^%dmR{l
z>wkHQ|GL5*u&EQ0Wt>2TY%|&+jCfIQBv!2CDCf$-e|LsCG2gkxt9+veyt8>hD?2}M
z8$@7|Lr$nb!;T?C4ur0e_kYukp{br`<}H_%dAKv}VE~!=Kw$cnK6NS$xJC_L>v|!g
z=(64XpiwK$?s8M7S^PZBL#VBuIxe@<ZL{l1;S0F0VEW?IhQ##Pz6`R-k=W7}cU1V)
zvAqMF2qQ`B9e5oRl3HlnBHB}No~WNCso@y_Y|u&L{V)0pCdseT$))LbtXDubuPD6b
z*=K6+_N39~k>u&xCz@=+#ZX42;rZz$sxp`tk6A|(PuL>+4e5$<r%*!S{CCUrGtrU?
zG+rUN{G^NuFFo#6rLZL7B%9EsZ{At?VL3(A!!^T%tlR$rj4i72;~I3M4&j6cZeriu
z&vt^Us=?|y(lWyfMU4`ID)!`&=>6$*w|(b_+pF6aKB8~7cP<|)C-lFca=PyrQX?W`
zn%7ehyU0WDjlT$Aon_vl#wt}{vcbP3kZIa4XIB{LbVj8b$Vonwwl2BTyuzU`oUo+O
zeJ9mm;br%G1Zrmn1NF!#4dQRq#CY~4rAzE(E)C>Fksp%uw858*O&mh|rlA8ab|_cj
zgEYHGJGzj@uH>qX2H(=A^QL-QwlPua2}4Q*#dLt^f8GA|Fs^0%&7#`P*QdLZ#J>|h
zNq_Ij>EW@m_l7GHhNg!#j!2tv#1qPI9_+oiQtM&-gg!-S>Ys8Fp$JQirIChuG1e4T
zt_1;;^28&Y^EK(ovrDai3|5p>&0tgcJsbz4&JaT_oxxzOlWRXV)-y)km8Mp1I9Eh>
z$uiJKlvA(|tR!xwfKEue`hc%tc>Fzu>8w0;MU8GXBfJ0{Y(zlLaTB0FsGj!Lv4;_#
zA#8#Cu6QiLm{nmt@acI$r(&C56HIkIw%sN{?%Y77c<dJtLD7-@jL=|$*^9f3vrc1z
z8L4F0clSy8)+XbI^KorO-?>kYBdBUt-<hp!i-QaF<cgy7utE3wg+&9g#wLfBuIfQv
zQVjV^C*97^_4O6wXLh<wlU#EY1gaB*zZZQ)EbW3FGTqexmN6q1Yl^p54g6vT2)E-b
zUqIs<(dzV7bxsO-wSx5Qu!1j1Bu`czZKoTAa7_Tpkv|zoRvbiy64tx@#eKcl$kSWq
z#sD%vLvNqr?;gf_F$`TYnmp}{5(C(_r<{bTXFwli;nyvWuCVm=<+f)5-_gu_QvbDt
z;$~V+Au}ztLSDBvQ$(Umx<8j3wXM(B$T^Q6JJ6p%He!v>lsO9(i-)rdN~|KOw#oxO
zHPqZH33<EbrLrIh=a9>8p$2T*P&i>yDot}_E*)2bHY&|S-9d@3a$ZCiAb+9F(Eld$
zP49pG6^Yf@8c|*Rlc_f612Qpxk#7yZB5Zuk<x$#us{&y@gWZbese#o)Nj)O0`AN8b
zPv4?a95eZ|O1v6}Bxd}{CRt0{kbzG<qX+cExd-b^vW1Xpe<bPia=m}bNq#<!hs9%K
zFI9|m{HA8N8CELP;9O^dv5dae&1R}@TPa(T*;ZWm4BwdstrV%8l(Z3q3&_Q4-HYyB
zn@dDxa-!i(t#la&a;_tI%@%Z3#in)J*c|G$i5#9R^6(oQ?7guF+~2I8$V|m;7(3JW
zO6=UNzJMs50C6Ce5xt#7WF1~}SKUyNowo7)o+cvEPl&MVW)kH@x5?b2ecHeJ+=%5<
zyZy6mh^XHu$nG`&1j`J=c9W^z{OTXR@YofEfL?j`ez*M$%;u!ZyVG#^e&s)jqXmOH
zFX3R#_fubw6kqq(4fup!Og^yuOHzwF<)TJ8SWw0y4!wFKkEi4iH;Cqcj&T=@<f)0c
z<z=Qb^V_(c*66y;PJ`O{O7}qKBa*Ct`_b~ickso|o5~`{4aEQB@uol6#g%6XMnc~R
zU`<H;37C9e%qv05Nb8kwPEO=^9Z7NMl~mScdEiR`vpK)9o{C#L+0Z}Kyl_8suNBO4
z?CS6I9Op}UNL|I5b=_)C-`ToUynw0yq(&c#=S@o7MPy?s=(fhrS>;0>bVWBV*Ee}q
zWV>C5DC`;!CxZof>sj3_nbgdNAQFwbkg|%f!0{rDX_B!i%|Zd6L}K6EU-xMWNw~P|
zi2_+3TY&~|TN&9?G+W%Jr#5N?nOZv8F}{A5eJOuMTL+5|e&34)-_zzY)3lM^l+2|n
zLkbw+yw8gc%zkoH8Hp9wg0qXLiNAzi)30Fm{MG8;C+Crt6wuo6m=N8vhdcMjC~@>0
z34gB;Hkpu#sqb-mpL<?0-2QrIYC|64S7a;}ZFGIj-Rq$!ew(ZHGi1XDTqfA3iRrp?
zB`YJ(VI@VG{s0Os0yEmIiz*uf0oewhmR6>fdOEtN7WyL=&}h?up6~W7cjZw^a=<)F
zA}*2K%BR&|sO!wwQ-mTkJ;J;svGzuw2Q?>ra&sQhFS>Lh3UL~~p=lnI2M!O!V6fo8
z`%jnl%d&KvUJ){7Zhiqe2ijris(GjDR_c-9r!1|zskz}7m8UE%v=p$YBZ^Pl1e*$u
za(u<V|CF805->76qZXRhgLl@k0wODfQud}b%457~*Gned&EHbR1VXw-CP?iknim7y
z?O<M--`$_6qr(gMX8Oce?K}!V<tldxfaLXDQ9H~=yov>sTTF;Y{aO2aHh_j%{qi-C
z>00<EMRvR&XH`N?bUc?C>+!i_=nQQx-szy2m#WI$6WvYuo}OzLXR$;OR3Y4Fwc>jD
z>Z>EUU0kOiL;g_gT;6wp9B{Wrw>F?;-xTL%F+D-mfS>X#S<bs=9xI2MdSM3sUj7$H
zp*`W)1-amocu7La^Kcwgu&qemE4oFoSiLYKSL_i|wYN`UPm3C#*vaA?J`ewniL&?+
zx?;|%Y~rOI6}BI{@bg8J7k{Y;0mBWMW~<K|Iq+v!T`uRFXz1Pen7Jt#MC5_9YYRsB
zi$tru)PD(;iJrgWrR)FRWE+DHIJ-X2+bn%g_E(?<2Tr0i;hyuAIpPd|!8_vl1J|^(
zFASfvaIvG{`TE9-pu-?r3B`b)j)joG*9ceqBv60Autz3O<ma$HgJmdfFo|zg8#UmA
zuqT<x#iSFd3X^6!M`rIL){gk-U%KGHno7d?(xQ(%hP>1Vw$DWdu;HY(rVpjgz5>_E
zGWIjzwp9P?zE76B<-Cy}cuW0?oDH{Ev?dV0h{Do5#afWAkK#s<VfTUECNfRQ4lelH
z;J{zJFOdvS(@=c=q~y<dj=pP?W!2*G$T-W4kLAGXQ{c+4M)a~{!w8#vi~)0<c)Tt4
zPiW^~CD;9GbnrK)b3qG+>gQ1?921VCUCmkH2nwv$yjM$9M<SejcSl+=M1pmvBbT_3
zw>X5#R*3>PO(h%9S$_w@c5b1ialT)z_mpe~6NleK#f%{9ic>-TxyeG-9pp^kB%y+y
zZ=b^xL~tCY3b=|_UZXfq7bT%n_`W1z<0QG$+1AvFb_}<&$ot}&<PnJU5#+UC9S+up
zh(KVdsDx|c0j|g5&EbFVfRralqwzKY%rks5$t!9>52^JPWc&`$ZPL%8oH59@3|Hqu
znS0VKVS$69?~mX&bZI-0UHQAEgV(48#|Y<V3E%U2jo2@_?RkIAHx~Owp*WlkzHBh9
zBJci<wN4^l8?xQ4a9>i_6ym_+$V~5B{5M0ClnxxQ#M4m4{ga1sL0^MRu%_`PF-}Da
zI}tUxORA67`!Dn85U)g6x|M)<amwzsaSdOf)|3(ZhAp+d)Mu1TH#h}tSNb%8LBF|;
zHn|IKtfesn2qSt&D78?T{~y~zTIIesOXFNry*MaNoy&q!D!tBNM#F4ga1{C_3}P-m
z9ERANwC&|3L<F3;$IYt}WDO-iI1n=-FY^|K-%3%yhAT=e!YreLbX0-LpJiXXQnk-4
zcxCFT$>ESi#pI_Ud4;s;e)O%;B5SaWZrMQeXGAZbvgr>+cJ_Vil4_JA-g(9hoV9$r
z5UnW(^uC<~{`HDT|8Kct`cme+xev!+J9s{eoPE?d++TZyJ{%LmlU+X&FRq^^s3Fcl
znRDZI+*qEMP5Z9}r@e=ypMVk#Dm5LG<KV3NTcrz-bv!#>lKRgQU0wv?78Zj3x_TC_
z^-J37MqQ53wgR7A@>E73*;P+3(0EC}Sa0Og{?Di1rQ-Mo6wmfnckw=i1*EJB@D#ey
zA5r~e3453Aqt3)7zb9EgLoFL!MVQU!);1nj%FKzB-JNvtjYGWJ-*}G*>VezIVhg3Q
zCsiT1i3!JQ!x=gCLS%l0N$^SO1-ZT(F?s#F_AfWh^ZzoBeDwB0@ZOGD*0EI0TuO)4
zzm>&CX%SDo>g^-CAc!{$81IW-3L)C?)OsLC6%v40vtXee8aMmr$JdU={Z>x5uV;<E
zX$*XVGA-_?%#zJun-_c?F?so0D}rbmJgsYVPNVd&ecmG1PxxxcTEj0Wka_Zz9n6mB
zQ<qe_fUQX=Im#YD+TLnIfr|1~XSI2Xk^dy>6(l52$Q~NxLkt5m9kKG6VwC$|O8}%V
znBndrlqgF@flT|~?NWQ7vh8r8wWTg;=m-x#KNWM^uSi_hXbQ`xX_1dN=vJRrxp*Oj
zPzq2k3QIcHVnG@X!6?!|EW4Wb*ZpH=+pnJn>4%pvX1LsWil{(s5x6>GX{jp#MJNB`
zGk0;mVDF`*#LQ*lmcS7?%8%+ZrPSO8>lQz`N><T%)xRtw4=fq82T$e5E@4|}w3SOM
zi$mZmH{+Kt;O_4Ahr0luxGGDG@5jC+<veG9vc$tJ@^2;#xBW}hS0P09iPZ;<s!82K
zi@6&v8q064Y4S{;w$R+?ay<d0zv+ug>K-GS*m*)cND75t*F3Yl)~DZUu^><2HT@#`
zzMVCb4?+_D!h$!tk0T_#e;t2NPVt_4)?G)yHp{ow7ZV)3Mw@jg^tA=f`LZnyUG62Q
z?ghwGN7l!6FH0Dr5$+_@3{g7_-wd*+dP@h?cMgQ}@6{#~|1^#o*B0Fk12!Ytr?kJ%
zya^1MX2Ac}rU%S1x49ul4O0$M&Lyl89^-UQE=uHy6AX3&-<zD|67uR7XEVsQ@C^&A
zf#B&5nZ=yb$hG#4_i>M6Ww^ZHrHcUcTw{bPApL&0S5HLNaRw83qbAaL`8&OAJKt-g
z{dc>z|149s%k9()e2~=IU4)aXMYO}sR|b&d6D4uNpV#lT5o!fYpZOo(_`V=R?J?tC
z#sCW%5xz7ccaA}!wGAHmq*C7!YxO~JUV-EN@(=~rhxNOFd`t&^$qRG;OqW8loPiSe
zXciTD?JN%+2u`rPHHlX@d%3QYMyW^<q#LG$SDstIK0v@sHKb_tt1CP3_bJWIpcq~G
zTqoBY73y@Nt5OijUfGSkUnw$J->`_j-104=J=xJ6PW!60-K25jJrDGfQ=0#k^k<F+
zb-FK&9iO9=#n~?t5O4r#Erep*cRMfk6A1~8RymQxFrH;B6RAd;)jE#yb+>J*%B)+i
ztk_G;3H8(j0qQwfd`_BM@?;J9aZnt`qv6lX3C-QB4y#h%usaFhqGH!G&lorrX?;30
z9FIOKR>u_D0ual^jtkEy-x{Z%QfK6UB}?Laj^b#u%e9WfI$EdFdcluJyG{*ngz=Fa
zst{MS=6z;fVXXBiNC8L#{p9D01kUy)^97k$luWAE7~mG?_Ra2_0VCfIJ6CgT$q~zK
zx$|dI7)|>(_F{<oOYKSYb=S~F!=JaH)*|!knJJUn70=Bx>(cA|)uzGV2wMqnXzR&B
z!@v5>$ZDIZ$(~Iyc;i9^s=frjn&R|4xHcFz9I^R5qIF|Mr!(Fveqm7o-hWnLJPqQz
z?_9PEL6(Y5d;t<xklf{uFkG)|*&RaZjG`)M)Znd`@vC=d73=ry&|!Wu)M;}n`rFN~
z#SSzLrPC9uqeQPpIQzKh{k7vn7`87~fQPN$KJhHSliU`~UHi`M!xxX)v4OuaDP{g=
z<A)hAXGt-LOzpi>9_ORsB`qGfe<mKlRn{?gUD~?37~cn-$s*Z6uZyVMLz_z{i<X?_
zI9mH_eUdJndm&iJvY<fg+`PzLzs`l3Lg2yg%egJku_dNvD0`@42FbjC4($-F)*~qi
zf#fcFe>Vmo{Co?8Sp^G|XHjE#K%|j{&6UzLZAzf^oFn6K_Q8UmCYhF-ZtXLva>~Mt
z_%dxofjZ+@e-4#=MMhFD=!C3@&DRM|fd70$k-yrbG&vZ&yyZLtd7aGFe~})zO#F@6
z9Gfd3gf_RtAs}_6G65Ak!TIN~SMfL4$agJo@%k$Jb1Sn>D7tm3y<74s<m>OVF)pCF
z;nT6n7e;D2vqw}U7=63~jta`5zq^jAaZ08mYzA}$u;R&sQl&K!l*!Mx2Con|cDHK+
zROpLT2P^v-NYCBfA5Tv`ow`xiu1fuxC&_zMiD3zawgczmf32Q?w6Ejv>RRQvXg)}E
z7Qg}ArX6wDu2bx9SoSMWduk%whpb?;eXQj6bGX*xKTEr8K2^MyNph6pyF+^8)YnB(
z!Jj}k6;=A$EyWy&v<J2%l<H!pJ*TlGuAqdr`N<oA+BOU4&!CDKj9Y5=@hsyPm6$7d
zpm8DrKt=83r#smw+HP?;w36y#Xm#eOvfeW~dd`<h`xS!yHm15c(}@sW6b$Fi5Vx>u
zIXTs?<t&vML~h$vR|kH(`!g=y^<KN$@BkbA$I@lqub@(k+|9Pl>SN;jeM8fZS+*;E
zMcvVWIc-}B?HHobs6rZ_@wu+<lWgm)svY^TYtI_|QhkMQQPILaI<}i*O9U0t;C(qS
zVfun25oHUGwP8;S8q{PdJB0t{v%o^lsrIT-1&$hLRaM2+d^Uhsw7>KG>#azS{rB-{
z^EAhXa$8?_htdXVfg9<+d^jzVP>Za;YP{0cnbrdwi+uguEPb`jcFc_i&JI<|7haV>
z@yF@tY`+f&(L*?)wob5j?$%#_vdlVIM?_4CSp=h}P2H2FZnNJ*?dr=DW9krk3WG{O
z3#rk>%&UEK?FOh_rmT^eDXUmqV3k`|oP|Nl;qq_6rjHObV1jv;qY8+Pnoi1iWlm%&
z_X^?4&xtyDQROxx;iviwfKrOhz;~GU<D)fiOF-eE;@)NHd{h1uA$+EE+c?7CJVHR1
zbT22FY<Y~`Ue?QUN2f`yXD<l(!$-@Av(<glnDVnbE|7!`y2~?R+H$1nrB|@oN&ufs
zvBe(3w)Tc+f;CKMYBmU&wMPR>!*ab#|7#PIyv;T$sV5@USpS?E4=OcVp)%AH`!{A;
zbMO#B0Nah^nV@}~7ye$eQG%FZCIqp|K&i%5_KDWGpOYn2=pqzx<`Ca<{!D|qN0V_I
zQWn^sqm+KEM=!2?2Bbbo<L1Qw&<M|CzSU<xlU4R6Th{RY$m^~&+OsplE(0!kkG6kI
z(Llx6#}6>FYg|NklaV&s3z}KMbo=%c#T5BpOyCxWvyd!zNKDnr5%q}o`q$QxEc^FA
z*mSEOT>m`6#?*u7+So*i>dfy)fA}SKe}=Q0T`5;1M6=9H_tVOju1E!O7qAjeUH%aD
zZ=T?_ZsYSA54TKEzq_5$o~1m$$mL-%x2^h~u5s{QjRuj*?eiKl`wMOVJ}1R<;>S~v
zCbWPUtUg%2z_V$<dhhX$z<v-pUHfCBUuy=$h?Me#>Gtm_I;`R`Htby}@F2{fg67Nd
zweRU0CFFrA@4b7?w0^(rb)aH$dCMtTbMp2w*2K5>W4elo%T9%@?LAl6#z2Pizf>OH
zIhceFzy-|CYIa&|FfS&e;R&l<;r9Y)tX4q(9-Vp&9cGb;`F>+fM~dow_$&S6o7d40
zlh{WbxlSyO#TPPgY~BXC4(hQ$Di-Q1-00fA0*~cYzBl1cAq|SRohkP0to@?0rwd7i
zQ0Z<EV|~5V&7DYY?&N*kPkpXuO%`@IC>T-1LDKW4=bK9;FT`bejTtP6pLJ3K(i%3W
z9U#-)Z5?UrL@HB#FFs6@BstO&cz)ln<PG}IGw9e7s>HV2a!h;P((+<rnD>z-4HXf2
z&b|3F@R-%?89unbo`*jFykQP0qf1Dz{%@Wi-f!jM^jp>gh#&(f6p!zz03ONypp_<_
zmxqgs8x?{BgM?@OIk$Pna^EE^7-o??e{qj7<n-wkcDbB8$iU~|rzLtL2ivmtCj(NX
zsd>xy+y3|>aek440+hdlFgzCT1sN#R99sf4?c~2nS3+I<Bg9&_R*6#jhHNujOhduf
zR|6c$QKD*(01tAH)R)k@RYFp1_BV`M>7nP_pK9D}+J*ErVKRJ_TN0&x?5S)$wbS|K
z<ApyhH-EiEr8=Ljn=aoZGvJR+rVU9NdaNIJx0d{w=NvTOlBLid3|1jfXUtjM5n-<b
z@-yBEjIux3bvmJUC@a0rOxo%`Qq`9>y>I_(j?~KA@FPN7lghpT*#+wQ!{;vLW7pe&
zdtvesF`sp7&dFYYyf>7v-&nIcUyBcAi;=}O5=rysR8EPXxrwLntolKHvA7Ct*XV|n
z^Pj04ow0H^ospRRerXq8FaHH=6);<~zd}N}XOGQMx*4z9T$*_SaXVGiexqG-sym?S
zI(WN_E1Z)xO2TX4Eu6hq7Yi2CBJ&YL61z};#;?@NZ^T{uND=u00>krgd@m;k{8YA0
zizX2wD4>PoCoA2)*J@f|)+Q~g`~o!yiIoh{y5mtEuB%@-NnoTUG~mShUMIHdrp$3j
zC1)9FF00%4sY>r-Vd_5RU&%&?Pv#Lnt=4{XJM0OHS6L-ShDova8Zb<QPakCl_rlG;
z$H0r^Q(?Mx&FPKjzt-^!-o7jYus5x>2b)vA4tks78p4&<y@eQ^nL=&R-TQV>QYl>5
z;~4aXKwf^@HBTlq+N~=lj1)e7@siU$2W=WXId5Q44c`ia>upY|Ga~fo&Bj}oU6t=X
zPT_v}^hNI6N7W?f{Q#5%--fe`o?Q<3;Y=tm5|pLbj~zIZ<s$hPr&JxVHM!g70&`Uk
z?HqrL4I^QiXHv3L>1FJYDS_!$^T(e^P^0K1KEClWr7<C5dX5FuSrgu{aDM-n8DrJv
z>NY@s{w{@aY6n&(jMYdZ8YUATBW=D+f{;-ZR;k~>reRw^YKvW5{5YqdcGkz17Q$U*
zsI)bV5dd&_i^{lyy#KwEkp132ZHmt+-?baIGI!YHIvzn~`QbS^weY8W;3Z%DU1oox
z6Iu4v&iqMtNw*!Goq7CsLVt&<L$Vi-mF&)~^5-*T9I3EnT_iQdZQzm^y^%BtHtRA{
zD#E^}4%I0Tu+u`A9Dm~7quMTnLKiQkq}OLTA6HYMj#d1g-tP5^m4v<t*Id@sXC1#}
z)e>^m(yb=J;B{u&r!<Fbw_=hsl1Rf{)AE<cLgktrmrYa_GWE@yre+9SCpK_jOJ5qA
zG@STrf1QcJ=8U<UtO&&FwZ0F_T#Gdx@ZsphceN@Ms;bcS14dTxL+++3CiZ^0#*2z^
zd~g}(mC~SDpDf)-(OoCd0F>%h-m&}6-l56-xm@&~{S{xRHXViYe>T|pL4Kg}??fiQ
z^-Z-)idHu(mxbr%ipE2g?%+*LC@ILhT~@D2`lSGeUZ%T9(HvlFtVsX-O&(y7di>Wf
zNA*OZ4td65?2u?HXcDh7hsw=u9g&My)rUF<ifsbh<@5y`R{@%bj&_%YD8Xh++eBlZ
zR6dz`u`I<Ka#gFd=ScIER|r{38;b3vpg^~^XSW2Xl;~xjlDz|0Sv*~~Ud{Sb-M>2|
zu06x)893i@E_&i&J1%bI4V#Az5F??{S9BP7ph=!1tIt{LY0_xr6l<j%w1RWTPls+~
zY@+T}_QY`B8`9qN!yoo|(7=4)K&m-Bkl!a|jWg$U5@V9?&p_?rDRJUdu?`!_m4Ja(
z)*afj|Mnu=zMvBWqLL;mN@2PliefbJPpC;X5(CnnVuW!~=zXSL`cKfMm>gBwYE;~J
zGCqh~9FYq1t7pw@Ot%WasvE-$2WEZG#sQr@<5x3QOGRpY>Y2weVyR>3B17B#%}<73
zwbOLtIoQG<=kA}il<t32SUtoZ;XYpa!Juh<<ijQp?J#7RbJ;RBfQaS58t6Z!h<u-O
ziHd8s&Pg!qCk{WmdcppaNE1P|-QVa!oRmL`kE$U0ndz&%57X88XJa=mkX{HnIgL1b
zgFKkw5^8ubQ+&0s=0BjfEzhQ6mRqv>{9YZ)rx1!J&SU!~am<ER4(|<UzBKi?UDl)@
zz<)hLo+sCp{)0YMj5>F~<uNz(n{<02NZZi3qafdRxpwx!IJ-+z>b_Qg-fPuP49DMJ
zjZz*wAOpbLQD79oeZ4DXdM$n@{3npn%epwU=XC>UaH5;%T_pv2Sk@toRE7SRun@zn
zhl`$uf86U_Mj23<gPruXRQv}xsfvUz7<K2#YId#e$^4P03_(dpaFF&!F@_HBZRz1o
z9YYpwhQ|swP=jD5;-%Bb=YM3bhtE`AU&DA<D-MQYEt)qvK-~xZb9L3Hdq(sBnGDN<
zkDpI5hh}A8X+X1aV7fl*#pa7U&kBK_F^5S7*rJASX8g582hC~T&jY|#vS9ig|CEfI
z&!r8mrX_tK{h8Xj61w^6(x8JzFtc`rAZtXM(l&&{R9Lw7qtQ-JF5bUHh0gZfdjcbd
z@0QvN;*5+hv?MXe%)ZEQ9hOH@*2Qyb<hXKrT=PceKs{wllhcK(t!6_G_6Sv3SZ3iK
zTRv!ee}hdtH#sVBcm`)R5BD*KJ`u*vxRv{zh9mw94r1Vy(myH1FAjc}(Fw_@W16lH
zi`^-b;MC(m^%iaNjt~C~vYoRea<N|0M!m_nbPTfTM<gn^gyxHXt2yATp=z-mJMVXp
zq-LKvRmuk)H78dPaj`yfY;FCXg1(feGviqd_KL6n&hVNli?$#vwPs)YK*8Bvag8fJ
zIxU(YMH0A5Azfg8@MBol(nk@yo(%DjsF3E2D7C4ji3)4ol4qF_x!B1sCW6)epnoWm
z0>IfFWqv8#mt{EBPOEZ9`te$KShqdFLt{U1ya};#RZ9{>q_$`jAJf_8W6qQZz4QK)
z8D${*@A~6cUJ8Rk5Ovf5%j`><7cFA13AA_QS+;+a>}!udW4J*_v<d$zyrUK6VxbjN
zOxK9IRQ-rJ(qi!Hc|xC*xnk{@-cewPa|>K~{a8Su`zl`R^Hok?oIdNS9$*>#n7@`%
zo66-w#c%-MQ}Q+H>ku5=DE~2mKXlX>mQx$X@sm7B6OSxUui`W{BMBKj5-2N^$(5ns
z(WI&WbUf*wdjAGVLP_04$?2v~Lb^%km#@S=U726rmc-yhi7<^9MxW{m))DZ09{i&z
z-9yXt-@#tOSdj+B?1w@5x68F{$C?csI+rOmR$S`sPPUy5Yz-jSO4ZT6d*#7|eV!&x
zYg?XD&hF1J-IYcB7+EU>T*A1LFk{HO?Nv;w6m(X!OG#ot*UX*SK53`uC4vm1lKNvL
zX}-#1S2_6&ZTR%m+<|=*yGhBauI3h0Jvv?qrrSOf9DlV&qeYJUQ^Q|N8aj&`7$u*~
zekQG-N2I{>K{2_4_oUk4ouc$cYRisxg%9iY7}v<0Ns98rXSQYkiZ#i+AC8Q+)=C$i
z-{fEiR_>Jy$p4aSqJH<tY9(2h!iC#X9si}<H(0bkVgLE(5EZ|FDxss_sIz<nr=0a#
z*9D-Wv;Qh(#<2nFlGbxAv2xksHDET;Bvn@Tw-wZLTCVeaWS7GA1~6Tb7F>3VRM3$(
z!SVagsqgOrg&<em*4MWnwslM`gh9R3PN3Nm++LG%v|4<BpsRmppHUAIo`_@>KeVX2
zECAUC@qd$X=D2^8jEbJ}BZS<tc4rk|<z>Tn+k6{M_80wP1Rlz(?o(j<Y>`j@xM)48
zA%!WbGFhwdQ`-7JipTA{u|%Six@`B_w3{G}e@uuODZ4D+$%;VSU|dGcY1U*@dK?nk
z64=H^tWlOlY>|P3xdDKi-&zJ;Y4y{e2+WThjtig+x=Q+SWJkw3r@!ftLv$e4uV0rd
zG9+4kVY*^%GKnl|`u|uP7Rw?XzY4$k0`C2uS{2Lw757Q1?*AptK?`pNG%ux3Ags66
z<CGfU|3+|-(V;WmlC2Q5uVx)f)=E&|%|)k}kU~48+fjJ*x#9=<b!cR<MOr>5+m=GX
z0YfH*@z~$ro+iGcj5DA%UVSExHzkN)RrkNT)<4Twutfzn>vly0+JDvU6t!@&k$@Rz
zYVQ>}2lWE9bo{AcJN=!pSuowV1hHhhu<|FJHb94M1N1}CXrnE?4G*CSU~EyY#-p4a
znYj|f9`0~`|CpwEINnX!{EmL?q@w(RB{0I`RiXgd0%!CLydhtpwyUBLWZS6vis_{%
zg(ewEQ(_78ujs&%2?^O}>*|Xe<xbFX9RF}fiC<Z>eL(QMyfJpAhm7R_w4niHyA8pZ
zd+>ZOj@{Z?z6LLf*`=z!JuU=UWhO(5IsXLEi7HVY@8!1~6tyffd+l~LyfdUa-ef8c
z>3C{80lWxbZk<{V_uygtCHih^JAh0M`iIJ9qlWU2l3sZFN2<8MRMeyUf>w&Lnuc(j
z(f9jG4rFG-Yo0qbbj8<CWKO}SOS%RZ!zbkcK$?4<trb0G#VVFh5NKbYYeUs+Cb?46
zU?Ul3lwTl#arcoe;ipXv2iFKpJub$%V@LK`I7?iV2_a%Gna3hs+kK&L8VxzFV-65;
znf98J*wICx^(6_PESwm^q$C0!w%QgO-+HS9x*6cGX5WW3!<huUN<Tx(oth3&b~mj@
zGHv8LE<{Yujc>t(*u>|>4?Q!lp7vD62=D)W%;bbtR^ckgb#!DcpbuiubTb!i1~4IH
z<S%-d*NjiX2A9e8+x;s}M)~0CgCvb>SuiK;j>ws!>EQbJU%n|KYQt->e!h$|9+J-+
zrlq!&4#8-wR_VtrhH(MqPnHp8&p38UD(r5?r{o~e;cxH7jg518<6Hlyw(EX}>k0R2
zuslliUZO<wUV=rG=t1<dh!Q<Y^iI?ug6LKY5iNSRdKaA#y{_mi%d)$7zxTQS!u{<$
z=XvMMnKN_VdFL~q_cN3Zd&O|qg3Kq^#g1Q)YFnoKa|e@Rq3Jp1RHh1L9TfaCo_CY2
zxUarU>I{F;urSPed(${R^(OrgPZntZqcUY59u`=<33cN=P0|FwUh>bdO-Z~C9k><7
zxl5@On4Rv_wHf40d*`f(UbXlQgNJO&RLprBK4!`_?O^^I!G`d4-$uh*TqOC8QZN7X
zmB5_W<9n_Lq9Z6EigQjbm*0(qJ5jTEjS9Wip|881OY4(;<hN%_2N!;GuIor%y?!kf
zFYe^oA_rpAFbjOIKv3BD1xbgU?b?sGCo*N90x%i{y;mrYv$*Ti7`=VBng=ymxcic)
z*OT~LypEQDz;b^7sY{(i-b9NkKvIX*cyNmTMOoDBdB-H+vJYqe*F}%xU^Q=&_PqDn
zjGZ!JcKO)Ft1qVIM*<%FbY;+`x%@W|C=GnJkRJp6Y0;}5>fRyCC)w}CCnQREb3Yd!
zF=eT?+4U1P{0FfaGI0Jdn}yXn$4=&*gK%EtP~w*YD_ZsEIkVH%%6DRKKgA{dJvxa6
zG8jLrDzL@x5pg<Lz}W*FbhJc!h5iS#3BOakEe-BnB{-5?f2lf2^rAAck^r&Tl(=V~
zWHeKYs-4D5OeqE0q#Q|eANWv^ERmn;Z}HEvI@9=u6@d@D)ZQyX8T(Ue)P7=0eRj!9
z->I|t{AY1&0Ryn%)cpsry$K?jZf09y9>@`#o#x2WUei^1y17MZ`wx4(EVl?aXY`al
zX=&n+q;zcw;Eih}>UxODekvCs;AVRUv#l#K8s|dnequHi88k{&pw^U70vgV77bY$I
zcE%f{G#tAX#6p^O4>puJ^txdOv&2S|H?R`l_x0~M&()A4$d)ceM0#tS3#q5fjjd*;
z-{#*Pl+;(Xek%UOU~Bn?Z}AE8MeW^zU5)<lgpV@&Q_PhDi0@_{xd|GyY5v2O8Q<((
z)HaNOZ>+sO8$0(;(7$0^nSQ$vdS!b4VvjAGq=0KBLuvq*YTW!8jPJ+8-d1txnr5B%
zJN?M+?`lw|A;4Gz$#2`$s#Rs{2Hv_-_MzV{_4`hJuRP{Bg`^1{5Vs<J^TfK}kU7_j
zM96<f3NlQVHQ8i_{k-SHh4OA{=3)mQVCl3>g51|p6C`#=I4+;U_I<%j3p7Jdno<{6
z4)?j&B)110)1x^+mt6A@cXKA>MO35sZX0dBxX1OFDIct=;=vw#d(dF_jg02a_z3U0
z0+97=U3kP=etVkx_MHAt&LC~K%2R*RpuT-$&#|a~|69Y!ymhnjrNSA9{O2%9GRq!y
zGK+Nnky*L9h;O?2UJ&U$d>*3JwT49!<j*68m5OeeSp0F)#M4t30tr@7BX&S!7-Mv#
z9u)N3cX<{vO)MCkDVF(03|3YCU|)Ev=9H5wv^hDeI(NM@R81QU+ky<wdfGBZQ1AGl
zl&*>XU<<W{RDpY%I*LIe>pa&@Qa*5v&AkU7&eTHonRC}B4Lwu2?P0Yv*{zY5=U@wo
z)PTNyv*3gV7tEaN3$C8G&I~az`k926!PT%picCCGFstbHCx}|t5O?~<uP)i(#B09T
zb@K{h-l4bTT&Em{FT<)@{$gkO*yt4u@=xQ?kxN|BnCCF0C2s$+#O%R~<>T|t&kQA?
z%F#kIcS-Qu1j8&pg^!aKfykb_6unD_ZJK&3yrC}4X8JDeJ0H};fU5QIhK|@@y+2(B
z>M*|M5qZXtMVVHP{hxWA)NKLsDvRQlImk%e?I$sM^)$bJB?xv$)0j#1Thqs%ccjG>
z5K%-g1rsWl)&SNRWLx?xdf|5Ri%*f~-B}GIqutXJjxdb_eY5_F@{dxhq!W#2(?|Rf
zf-Yes$fRmU=;kVlC3s2ybH+`~<b&UM65ZYL*!rZU7EJ8ZTeRD}u~EipQxKV@G_KaG
zN%__4l%i|yq;U2!qMgNoK0pywA5<VlNDa>f<=js{sv`a_jjW(wl6>36jQmq~LsL9R
z<%e_-&Zkx$Q90~~ecnG{y`5kRVxX|RwE4RgY_bxMVaS{3AuKq9mpVo3gjxERQfi#!
z3zQh(5VfNH4cVPGr}+h5rQQYlzUG;tT8%|<C}8kXImC<NH^2+3F*z`w?6o2kH9N0a
zhsg-B9CZ0mG<5$tqJL`#Ab1@W5jLPo7aT^x{_KtL0xO=<wq8+G;9LGji^2X8S+TJ&
zm56;8ik?4m0pxbW-kLM2!{%=v$rwpp62m@Xny#gi7!XjtVMZ3HZR<kuZDVF@;<IpU
zj514hAr)2e{e=w-Hh)0t-tqi#OGN=jh1U{yGVBl*IYS0=_DYK*wxhc5p}gXGLr+DV
zbS&e=|44_V;`vqz#u?Gqqg1ivZJ@C7rJ&wKv$_3C40FKL$E_#fcG72LJ~5AjWQqDc
zZMLUm|4dnmOdFyCAyk7fBIQ`$yFY%XZ|D;mgwoQ!gI$lpABmWdcfTW<NBTj<U_BLS
z#MpT*CB@QqY+T<v%)?POct80Nnfl1a9J$Q+-ESX&%N>GGLUTFAGSX!FebhK@lG_Qj
zr)TvFl<-Q`KU?%#hU{>7D_$pDUt+br@&1xY%Q?deqJpa5S<GDX3_=g}DQN32RQXkL
zkN_mb5s(utU?boEydg0W?Nw`S0plx0IC<;;&XB3AjErfG9clHwOgPP8kCGvi7s8oO
z*K6|puwOt>3fG?R)6NK=d;6zJaq=3wpwPLf(FQF9!GclR4XLs$vV@bU4DVw)i#JJl
zFW&Ty&FhZDB3tw*iP!=BkMhAhJ>fkCb@;qFAQ4dlqFw|hjfpiTy=P%o96$3FC%^v<
zI8`TgzyB~fbe4sC;-e*@2I2S_{w={Z>`-AGcjtSS@ll17jz7zMyKz#<4ERSJ=e}C<
zY+d|6@X%gmgg-j378*FJL6QHd_BYhz)y=ebfR*kc$R1m<WwC=_&zQ}#W_G$^biFGZ
ztQzKI!9ThSm<y5~oc2BR$&zz>e&2sdLTo+qbh^0+sAf5g3@Qclvb8s4%Nf>*?gNNc
z76H#9(zyKU5+ok+uycpZ{4B(xp80HdZ3fnK<(2|(o`zyqPuetBug)qVUNf;&0Gytt
zA@R4q<MYaT&_g)*-)^(?%;`PqrHru?zk8a362<{kkm@Td61P2KD0C{Q27{^p_O89f
zBgRDJqsJQm6>9}mn&nG)$gXA>zXgnNpW_omuFK&P_^0hE+y9YV`e3`;x|Qu{;hTPl
z)BS|8XS?_8+%!exqeO<y-(fjn68<S!)2$bLi_A#v-!@r1!D88R-)FP*koy%nI7lDa
zhy?&H04IN2n}dH~hrup)t5eI>ob=OmOcmgs>B7M*#HJ6Rg6E}zt&B%?mFiO;g<nT-
zbxgEuSF(5gjX<+f9$~g`Ya{kUXi-+y{+D#ZYop%G;bl*WukgL7Xxt!~pJOJ;C2|Aj
zBe8sV-#{WvgfQapkZ6yW*lR2A@#&7cpv+9j3<KHxasRJ~Qi%6}UTmdnOS0`%&2Jya
z6;5`0Aj}VU1NWMcV4h;f>r*Ei?zP;U5tY*SORM*a3~=HS%RP5RXoXLRv-y@mI2$bs
zS<hqt%Np^E<&}Bcl{;$J=_|(xOI?Mpr?@%a#_<uSy}tEBBBCKh=0%$gI0kSp#Yz!C
z5!MPrQ0zz(Z_CdQu=#JV6+>L`3<Vlauo%8d0-7u9ipfcy8AqVr7`sHAI8if(?NP^T
zGBb-lce7uM+uz9B$+o_di3U|npCZY(1s`AD!)NN*H=jNB8@*8>omPc4y%8Rg%*bB#
zQT+V$y$F_J#8at9acm@i$4~EO>m^50ZP@rz@4wS&SMF7{9Yb>M6i}z5R;RsDoj@YY
z)<x!uF8JN6GNGUJ(7J_Pb?e})<(xSwm}83Okm}O-VHSiPS|{F7Ax_pPJ?aqE>sqI2
zBx1PeGsVB|-M+*T*DqQv;}F`>wAk|kX5z*@I)46mCG`ZELlUrZmm^BD`p?#=7#Nt3
za{H{W;QtOo>kZnk`RXQFC7#W>p41rSB0O%cY<ML_fIK;MG1jSieFC7Rp8BPkzpZ0o
zariY5L)EBq5#%}LHzq=0ZfJUo6CsWIK<1HYXOi@s;WLI%STxCbn%0t9G1zFnX)fKw
zIa8zOsLF~atIl6UChrr<WlN~r-a_HO(rQvJbcmdA0m=gIJbNPFvB&*Vh@HQwh644s
z8fU1Jp5xd>YOD!3$eXcIYsAj=c<tnM@~iNBL7-#BJpJp0iUui3W4m`>ceFKfa^u3d
z<%u%w11~D))Bc)+L=hGj;cnYcO2A{DEnf%FMb9eketFLdxo2nYYBGCEP#_)Ziq*he
zWV3uXzcw1;25FE+UPXH%D2*%m?**^83YVk83FaAiALtoLxUdX@zL7b3(%e7NJa)GI
zeFMv?d88s*lN%RYC(T#?o+MOS33VEnGHg#eEF0H*-v{aZ$dH7Z1Aqag5PWpuu(Kcn
z8~xQJ)MzNY^HV5jLYxliX4x_yoqJI?d}*X(9rD8{eHPR+otmh#5fzS+?!ZueD%Zzn
zqtFqrT_h0{>*zs$(E>SKQqmECI<Td4RHmr%$H41_O6Esh1|;ESV887I_h}cp2?HM(
z`x7Y@1b<tCevJ99vmA1PsLTA+KF<962*A`lu`Yn{s@>&ecFR?g&-nXc>2sFeEe#Lb
z1AVZRp0FPXLgP_8_QsrQQKN{JWg1yR_rs;#IDr7Gay+{9MwS9521k^UpwE|gOLaD%
zitkJgt4!VbYJQuRGW6>-<FJ;Dg}${1z7w<ZhPxwI5jD$EK>ex$QUt{onw>(+MbEc^
zdt*VsUm5Cj-s=0tZFhdc$Y>;BA*Hz@CT#dj*Jfbiu1P-6;HGz88OSKLap>~_hgpug
zpNs-bhgeCnp1o9SZ~oI4wV~@}rB~Qo5gXPfpFyXp-ea}r-E*ruSMe&vZ1kfyH14RP
zUJ$Ei<F~)zP0ai&V2Y+2wCiGUsnKvdMCy{a1bm-tdB*_zODM=2Jg89uRy9d(e1zQS
z&ZJ6k{b?Q5qeT9Clo~sBzxwT{Q#k2_f4}iqkr;Nnz;t?uoP<@$R`dwld^5NhD`911
z$t!vBS(f><?6KA7n7$$@>{dZIFOt4{{(fOg_4C@V9;+FmQgFS-v&TMeX|b!vz1!OT
zIUY=(W%Ehepf^82rQVTD;LlV7WZYqmaFn|%ryhQ`8U<JyK_4ugCLolo>~1aOa|NAF
zO8dLt^{~7BYxyO5?HCaI3|+RHKr^zh&D9E>9_;DPDXqV+bW-AigE098;!LpLF#Xbk
zs-*3A_1{~dLJ^SJAO4Q+_Y4HlNlBe8xKzEKM;sO~tws;fFeYEmCiOn_z;dnd!|S6p
zvx4Sc8l;)b9Xt8~Y8Np28TLWsy%UzqwPi;e4RWsfZ;n?8)!Imhde4os*2_UmhGO8(
zE^<k;=ua0wkGIyc@NufMng%K3E#9Ho7C>%Upl#XCw2~LDFMzn-J<_^zZ`N;U^A>ZG
z?mD{(@_*HODtIrk&`?H$Y!|s<pYq#=|LuH7RtTFG!Z7lAHsJ-f=zrCl!>-c94NdSx
zm2l?NHTv%`I&V_Q-bwnA$0R$)@}u1Q^_4lCN49PZcGYN1K!5LB&|-CFa4rzWSU_g+
zSh0VN9VFpZ?pQ-wAL^IM^35^G=)gT-mPIQK!^#-U$!(VHy?H$xdoS47&fT!u%hlco
z(#fwWsc``4ev=3nRfE9Gv_<PoL??PYcAs5xzY8LL>rw&?tFJ8nC?5SVS+)}Gkn4q-
zQ3*?SS|2@+llkD$O{itS9N7M~@-<-Mr}iaJhPn=nc!ky3nEbB%Np-GTqNE7TVC*(Q
z<RbQ!)D=NNzIu$Jo_;65pxxv8Cy%MVwE_<oT5hD^ymEKVA^5y+siQDiZyrwRDc`s2
z@K8Si9^s478ZoeZrUZI#K#43dP8mkO7X}Do7sSvL@6hdYC$5ZwUn025>n?*;4h<Oj
z<|pgd+lQ2=>Ti?%Bl|vQikp(;m4wxH`w@%AwD-wgI=*vr{2u&dyhU04PYaI4qm1B)
zO0pe-6CkKlDv4+pCwk@RoJ%44Tr`(RXT{q+xnuAjadb+V*ICq@b#b_6)`3z!IQ}y)
zadJxJ+FM5jFGcRZr-g0uPf7>Nj$?RFs!~ev3$eKy0_o}rpY<`h;cxVfVL`q@$)e+@
zh)!YngLjezPYttR*p2d7V&nz*W=F)Cqv;yHceHa3YxX_S4X+NQ^M8{D^hHwWUviw+
zGEn@tiT;TvbCwl*3<q3{?H5x<h|w;j&!xV9!q)mIdMe$QAsbVvQ~VFZb(p%k>-u^K
zSE4dCAM8q@wG+R%e3nI|=uHrJdhl6r&O);?W7ejMKS?Xb%GtwJP|=mH#YwuHHharq
z@bl;|<_o@W$dr9LLy%9lgG??f-M1Q5<t(!~SD*Pp#^+JQ3<JI-dBrNx#QvK%uge2k
zRN;Vu_>(VLr|(-n(TLE8D;MeaP5yF!*HfxS>XFFcK+c;GoSX|ybyo;k0yqnZ)7ExQ
zv+n@r;vY%LyB?KKQ}}G-;+yxkTxP4YR%5R^RaDH$kk>Of&qc{-oG6elZS#Lz*0z#z
z4RxMPj9se85_Di#d<;I?S@dO5uY^aSQkGBGpmc248cu!PZC%-gS4!784e?^xWThl?
zgj^g-%^cL}C&X_#8T!c$)|5aZQKR;cL~nmlx3wMov5)}p(i&yV(}EXN(Eqw|Esl#Q
z2)mhvVaYHWl+V4Y7&GUTSK!M(u0I{149pB%ci)9SRMR0_)MVakevz@VU#+<d<K}s6
zby_WNp%vzXxxS9v&+9o-^2m#AQ31vpiE%C#;&rN-!wpnHGsLi0&$iu4g}861MW}lR
z1ju$arP$#|2KGZxf->fj>kDE%^7Zk-<_Le0pEEzzNL@H*$Phc}xlq~$AUSRw^|ZMO
z^l&|5hBcf>)<*g(-@zD0v~liZnk81@46E{~6h_h~cGzc+&Bl>-#a!d}32xJOQ(o(0
z@SpLJQGx*y4W!vv7~3C-2-_%od&R#L$Or>%)(I2<cAa8l!-T&iBJv77`)KNQ7{IfV
zYAhN`jF6L8DgxIA(x{_@lHUiUH~^tZdM+iPg%?Zjh~_MBebV&2KfN;^z;nA){R4Y;
z;1e3#q^((R&!ejTURV5Y(yS0dgN2D@*d^D^LVj(0KcxG$hoE`MX6&3&b(2OaNpr6h
zVU(qxg&)?1(o2!GUSFK4Yuoqn=|wy+ixBIsugGjJJV}XYt%h7FN=Iu3leOLZs&{uR
zg%m)gBH)7XQ12cN?oCiKCZ$3=bs4kr{I;w2)$&E@=G^O~5pk_wi&2SVI9LUaJ(J%n
z=XZ#~PXo+*n@jJN&*8H5^n@8n8@q#0_{*+l?=MI*sh?fpx+y!!G&;6|J2bu?&i?Kw
zdQsM{p%;o!!Bb>yw1x1+baA<&OJ@os#8UhG*XZTg21NWZIzf){jW(<ODx8_e`@IoX
zzviC@+w0FCG`<)JDE==`!gFEtqugeNWq!{^nJ6MBQbuTjnvk&*R|(HGT4ywN2?xpi
z85Bn3HB?^Tcidb1OZ?1&1NfX5vR=<TQ3SFVYK|8r$eTV6T#{TZgmCledlXBXt!PYM
z5osCZXzRd)GKi)nZSsruW=cw3bL~P3a%qUl_i0Bt2X^K;H$^K@-ZHc5CLh{@Ufl=!
z(TaL%?u<9?SghoZOfku0XcT$d{A5G!(|_X{GRKFfzWP)ppa!%}ukD}bSiEFewm2gA
znwjvMQ*8Wq78mPsubWE=`a;Ek7Y45IYF_~qO?yk~alZt4uzltNY3RUMYcreaGP6LO
zAca&n8R0j6eOss6-aYvv!BQoknHcJ@6n>ahSqZ(UX{n~>u94G7ekqgP4tRg*l30!T
z(dEkhzW**fPPDW(^xG@QGdUHgf$)g6eC5me@S-#|qWTWz@LPVJM$l!ksP12daT01P
z%pcKm*ujy7t~M9=)VRM<t_$gw7krUclVLfgoE<OVxSB%I-ejXJ=qMbg(>`ypNM3z$
zj~Txd8Ru2Q42bVjnXc|V10XSaj;8>ICKpX|DV#gD88!B^zO6rdA>8>Jx>81%jI0m{
zn6F@oJI@Ts6puS6|9rMc2|DtXHN;9jc@0O0+j4SrQLQbz8ETS*8~ysI$+38{=g%iq
zxfT3Il^#+iq-jR)6QZ^fnLVdzt4V2uvuKg=e3m(*ghP1f40x&?B;E|W^LqG##TSFB
zjGO|dZR4AgFPHZZeV$?M%;tLjJ%=-~1RbtfA+Z9EYt-Sm38j5}nxomyx3UmBpssS}
z`oW!2&@rU3{e#HMl`?Kbg=RE5+!Z=~wl{3bF+U|3qq*{+NAvHcwWSUWf&qv537%-4
z6QdStZyb*&WW=po04J03fkv{(P4n+QADS`*ILK<MB8IE<(=eS~frU;L0;w^sZ=G-G
zULG$WFLTNdqr5%CvAxQhQo@}3y79&ycr?0RPk-YAFL$}UC`BKq9>FGTm@6Kz73jJO
z&y`>{9e%qZh#-Z~fKfcu@<*6cTv5}?^J0IdQ&EtcK~w+7k<cu?KxUP*dXmdf6H#8v
z0S<RJUPVGemgl7{8V)cpIyf{Gb(xBHQ@0F?o;|L+2Gt2g_gx=D;%2w*1KCvW;%f<E
zsUME$XVkLV(Qsk9uB}^09T1gV9&Pg270#Sbb^$C#FDv#CSC;}iOH-@Ic#dKim7eb0
z8B)c52p!-jGkY39!vV!h3W)yu`XJAj)_GlBuy-eNvjhn50TS^d??j7)4sE3oUSj!M
zXrXDLLyQz>A<yB!!!>KV(6cp`4Q;i<Z5yl(R;l#7Jd8%>z`f7i{{F-si<$o9^T(@?
z7$MK7iS%nC6u~7e)om}BBW-DRT9nb+e*K}KlPqMj(Sy2Ev@PaiWY}__i%`q?Y7A<o
z<WGQL%RJ%_JhrBXKSqGczuYJLwFn3QOsae<A){h&uye3ry!(9XGZw+RS`D2QG&kFk
z8RGu@!jbOZG|02iYui=2El1m<Iw3{(QuzznD@*Vol;_v6P|*8z66+p?XMB24Wd!FV
z{Hek&+3Wahz#Uu<=T2_o34&6fjU^&(GkxIq!+l(GGT}^HBj;Bn;li%L2|k4&o)RND
z`9MJ;oyhBW-}o8sT=}7^EO&ObR5CI)m7lp!{+Ke9ZhGTRe2*u6d_fU>+cVnc?fEuL
zP-0fd9=N@JjMIeW`yQhj7K5s-J(j}T5d5G6g~RHMvwHl%Uet=MVaJrA(j@D3>veoE
zNXVjR2j#fx;M<6hRYeGY5UqQ`sF@RiaEl7M$JB$WoiOq{;VuSXB#V?Eq9e~rVwL+v
z7Ile-J(HqpL(sRd#Spp8t_B%v4u7wJd6`$&m4TSx5lEC1-l0VIB%;a#Fknm9Av*&c
z?3%h>nyu@^nYk+>S^sc#<ND(`ywHoeKaBl>U^E^qf~YKQTktQNi=D{?47XsVlpQoN
zBV|%5+VNi(-%H0PNUJj;7nmmjceOLqPNRhIgm`YjgZ}b%6`=ASJIfPQx6&#BMAGpc
z&?%$3*5L@^)M)E3$r!?%9c{Lpd$gn&j?wF+w_=JI7bgI9>fNmt0APJ4#QsmjDDhM@
zhDdz%z>{IexQ46-f-{l5Dk6`(Pn`|-zff;Pg*MQD_W)UnKxNi@93)kUu=kNq+{s~I
z5YC{KDwR2ln@d92BvyHnsb|fJ5b49`8+=Z500h023a4h(OT{_{kF1=`mV)kH<{^<<
zZ&Oq666)G|6QBp6@i;~~dDOlME1IxGz3?2v_Su``Mzm60yv<Lu6uPLRth)xlo>`08
z{q^c*RmugVDzN`iH6IUi^Dmy7qZ(W3Jz`Hu4kLF}DB>p5*RtGi0L9Eyc^Md9C)o1+
zx;JE<h-~_0$y%N_*J&8RIM!7cbR|t*&r4{m=j~mNj^^#g7UXxTk^2EWy4lVM@8?vh
zml3fjSA6VWW4*Ha60bW^=iOk5(`)i47!$amkrrD1=o+-a_5%S7ay+M>&ou(5oM+)v
z$@!UTOo>c=VG|P0jDi<SIDGUsn?)CLhc*5jH7vGvDS?25V2$>D)GdE4&i>T?;0aVI
z14J19Buy*<#|hqhhGV5~;I1Ek^rD$PgIymYZjQ9ry!q#mBg9EB*Y}feMm%ZY`nO{3
z(f&DWB9KTokRc#I^R1c=483J~a;gsbUB9-jH*;RMc?`r$2du`S;)o|Y|F2-{r?A^O
zEw?B$S3h1daQ$Tcg{F;8x8{$8u#{8Ky0!4pO^=UFN|5~HzdYFd*^M+JxL~6!mDsTk
z&Xf(gSeXx}xD2gx!r71$^3dhB3boTc0X?>8fV<Cxe3U<}dKI%t-bZ&}d%P)M+*S2*
zb!J2wh)6h`$oF`R!NhJNDpZmeR3Pz}PqwRq`=m(GXW*^i&Euf(j*V^<0SM2a`wZF+
z=ezq(fN0%%xxTgB4Gdxh_rcF^;aez+8TcCm@Fr@5tT3%EmH0U{RpIHUTQwyxJYUcw
zUOPZeh(qv97-5ExsKbl=wSm<6L9pCyNZR)$I8~n#Nfyp~gW7;!R7`{iK!QT`&=2s=
z<#ROhVXD-19pd}xY@l)E;V)V+Y-R`qeSt*5&we~GmxZ1S&7_93UGLreSLNm@Bp~WJ
ztkXm9&Znb|UGxT($f4r(=$P*p>n>@is~Wvwn~n^ad3jvTnoQ9yA9`FgyoT*%fd4ZA
z#VUdb549))p&eh{;>Lxh*!2cRqIfLv?1+$U^@@;@*;Kytp4z&Z&4<6s52bX-%`kmE
zichF+^oHso1(Y@i5ApC=2^AQbL5BrPpCJfL<t>@b>Vo9YePtc_A3?+ZCQisnb^Ls)
zCd#hrIVk#?P#Dc|e{Q9`0Y7Ry*UxIREMhh3*x0NPv@$C~6VZA;z>dO>QweA8y7s!u
z)qRU@JuZjTls4V;p{+b95{@Ta(+dyJ63K^{Re?KK*<(gm+o$@g%SpP2TIZAq#R?w>
z86hI`MlOvJ?95s8=~aFBN@ob?mep-gt2`MqwjF{o3^Qr)3BC_Q4rSsa(5Q}+(Bs|f
ztGVF*slO0ExQUP&Q1iqpD0SU)^y2jDDNZ3Rg3%X(j|leSmMf&Cp!L_jjXqB=JIJ=*
z9n3??SiNgm;FT%jMs#Oceg$`D6sVra*K)OK`o?>F$mAqseCJu3QM2;3VmBfeiU#@p
zp)u=64J2}0|NG&M3gSCj&Z%{<__xdSh7u_=hAIi_WnUi7+PG0FwHKGx<GxF6wbDw<
z#C0jzd;w^^&j|ig57#&xsXWte>`XGw8%tbyyy8nl0W;3-o$?Ep!)M?GUhJsr%QM6|
zfo?{`hj8|3##G?JlEPVm*-LJ$zO9{pjk7E;=vgb*>2}08^t`s%>jO`iG%-2QGKs}I
zkPuG%b>aaif@HW!P0pW)^8W^Z7kx*Es28$#3+wn80^A_FID7CwYqM&c<G#PNASA%J
zn*ib{wUGT0JH@+ukSuHj=87+rNR{;s|1c`7Y4Kseima*`yp!5vu{HMZlj1HOz=#rA
zr|`WNy*u32b+9Rfk$c>|+Bmijf(=~*Hj5!}tKF+PxTm0!fB1U$!P`>T@VT4NfzEdE
zEn43r&_*<BL<fFG+RF3%5BhSq*7XiH58m4K(7zaki2n$<96Nsi+T5V~Tq!EVIhgDq
zpSpiCV`A~tcQA`(6lKxBhi4NIru$T@&5jD8QpTeDxl8rZVC8!xbI0h-^uw8<_To*r
z^~QacUhKIAW-;>ogu)c%OpXvB=91$WD6n0>O9ck@!4(pZH+FOHsNlTw&0I-gMvOf*
zw9=R{0P(3Vpisj$C}W%kM&q3Yd`p^GU=Bn0I}Ph?;)~aSm;K*V3mtV9iOTJsF+A%n
z{TS-Fef6C<h)S&+?_M8A9ip}1w6XI225KQ#%#;BOjIDnH-chhpI#16)3XD@7M3g|o
z%YAR%%%-PJVAQNmf^&`gJ6G3@!D7RQP{eq5$dkn>y~nLh{KfUDeb`kHEWl4nEn|G*
zP^(1U_SuV*&zildRZhNiC2GzA8PD&$KP$7OMJo)2zVM4ltTtenQr~XztTHBp0dbm5
zZX1cepvr`RbrGXgplOI54Be5xBii@&jeMaMFgga*whcWjz*}BF%yackJLDs#Jwk&`
zmZq*VXhWQV=#CJDhnvrD+IG@6E2fWWkUA%PE+t^Rmqd?Y==*zyO}D%-YwKiiIBtoF
zi3wSo?C|C#9Y}Ezf|HN=JV8CEn>9!uxQg$AA?t`$=mfq<-LsNq;)h=8VCpo<x+D4t
zdV7IOeHY@V!?|O)=3iI)+>`HtaT$9-CA=-A`70zH_3GbjBu2DKSbCNg6Xd|To`oU3
z1Q2=^d_NLU=X#nI#<x;s(U@zC?|tZn5{PPe<bSejY(9TWvY6f&-frq;>eifiz9z#I
zE}q*0w}^Z+htZB=4>^P<p>Y28OqMKWAX_QF8z!Md+0C~a7gT^LTt+g@P$BX(2b%Q~
zP)Q!<nz966K}!eL`Sc6Fh!&<Cg_+~5O9?B_i=X+ZZ!5~Djfwxc1%IPq)b6_^)DD)J
z%NS;vQLY+Z`CNK2jyDlS@ZAv8t~o2r+*B!k$7&91g$jMaMPnZQrPF<unDhtl1G+L9
zb<36z>&qrFTi15tIlEZ`Q6$YSoU6pN$sL5La2!R0bg<j<1uvF>>@u7k!e7Z^Xnw58
znY!T&b9X#w1`L|{hT(CS1_?Nl!o&cXNI+!PPF*o(Jg@T=n6K1H|4cX5(}6Lj!1rWR
zeu8Vl!wmv>bt||LPSWT0u@Uz_!(MFsaKCx#t*8UzsSeRv@@AvNoHF5L2g++-`tP$I
zAGq>?6EK1)V)b=XmaZ6?l)8`C&6(5x!N)m&mK|#)Fy_l0_p9ShI~e5@?GsnA<y?%p
z>w1X$zL-~$YB=|8bB^m2#=P01r{yX~dZq+O`LH_Ke1I`GmjYSbYh&sGCxp5mnEPPN
zYx3%9Lb(5vV;Ss`^r`tzp=D`m*;wKK|Fyyi9zrIBNwPd9nSr>$%o$4P9jcY*ODT7C
z_i=VW)UZ3NZAhABA-jdDXxFRK#un(NhjmpceeBXK`A-?BG<_~ejIK1CBak6cLVRk#
zKRD26P0U|z_~?CxEW`SQaT>|_476GR(VDw_Zpu{6%qGqVm7J}k=N!V-82}rBw^BFn
z=_;bnM*b{7XD%pC=$ILjCq=DmRnatA%uzgF7m2P_!e`iv^|}Ezx{+Zt&gS&5rH7m_
zhhwOPJB`;(wI96uJEPEMy`$tRLfBVJgq?EP*T*atvud|n;z>SBb+s<#wO%ADX%9?%
znhH25#$Hc6z$;rRV#^9EWlIVZbO_;pDCRESj8S2wi2N~0l_`R2pUBtP;b7)F&8<od
zc9;FH&n?z2U*=AIBvpRVN413qJtftpkR<BI63|JkNue%Mznf%RaZ4*1)K2~c<%q1Z
z-TI>foR>A0`&3wpr(IE#!hB~uVy`gnckp~fNzEM_&4sAk{IEVcV=0$5oZ>ukap4A4
z^Kvk5B}9;FE;5Zk?Q<HziX#|B)b&xrnpZ`K=CUKcWjT+masGo$3L+OnF?3h!`>ziX
zM4atI)D^tz>kAL;m-^KJb1xo_dc7|xH(_z_BuoJ(5->(4Bnw!0nzydcY3fNa*u)V@
zv;0duw=pi~-~{7cB5*scXQLBm*{g@<^|5qq(%)J48WiQPm{U0m7M<XHRG_$=csY|g
zDLE*iUN!U3o&hQW8lT_4R(2*v?uZrxYrjp*Lg*@Jn4=GA$;izO@@~C~GLga3lrjuO
zU9n-<w}cT-Bcf{s`M+Xkp&7<P^S;ow(=?^JuL!Z=O>wbMkCsdeRC)0XNZD?$sX?es
z24BHvg_#0zuKE}dw5>5LOC>=4EYDeVn$E;Wu7;4>QZQw0F>9iPo)1p9^OxUx9g|dz
zI1@K5GZ53;-1N_fB{>HjDG=_5T^wM^=BIK!>IAHi`OCCrO59lhvdTgLLAh;B-VEKe
zTbg4a(h0Y^P8d2>zQsMscpXe6Ye+&=E6J7lcPkoix~&*4B*B1C_LsB8GcN{JN4WnD
z`JwV+`swiVy<}=c=0Rh};(tyUK<bv3TW=f2?oAu9>+{wek35$w>kOw$Tg*#lZqT39
z&XpKhYpOEPL^JQi@pR~etHL=S4K4IJSM98FX`H*pn|RcK$@Y>{w<W-$bJ0a1!2;vW
zEUGyKaAf1#Tb8uqIdPqO)941C0_3dNut_%w`{h4p;i;G&o-zjkshIzI34_a<txe^+
zQ|P@q<>R`<)PWZ`oAD-$P!YC@K+%r`><{kRFN#dPl6XjR*LHZzx2h~^Ho$a`7#)ph
zBU71wz0w*bvgF2;9;bLEpQe*vEvZDU?ciL?L=Fjj#ny?dXHip7;M{L7&fu9W)yJtx
zoi)ga#&JF!A4<fo@xkX8SL)3gv-4IUraANL;;^GnuCiQk<<I;35QrJhF>2f_e^*2N
z#Lrj18{eMq>5*5T#PdbfB)zOOZQ~OX;<9wu`WM=pjIN>z?Yb!T)@REXra``&TD{+1
z+BWt)2mI%Ext`K!c{W#f$!2=Y*6CW5{UADE6&Eu*WqzI3%4Ow^@tyL0ilp9Eyvp*M
n#R&6OXk8CrmErABB${9?8fUxmTg>`@$8%|@>Z;T#+eG~jNU5s+

literal 26272
zcmeEtRZv__6DWZX2nz)S_k`f??u6j3i#r5&XCXjv3+@mI5@1=}-Gc|)#R)Ep!$Mf>
z^1t85`*=^))T!yy-PO~5rfXUzR#RO8KmkBOK>;W!%4wsZpu%5A)?2h!2+rtD^Xu!4
zm$rf|3S^q<=ymd+y^NX+3QB!4_M;{G>->YYqP7|eN+2T&%GYlwD9BgP*FzK(A8r(s
zV+#}%(QFhHQuq80EpZeSG!#u$-OsNGZ{NPf$HyllBcr0C`taccJv}`$Gc!9oJ2y8s
zKR>^)u&}texU{sioSdAZqN1v*s-~u<o}Qkep`od%simc*t*xztgM*8Ui-(7YkB?74
zKmZ5?3JVL1jEszpjZI8UOi4+}$jHda$tfr(C@wB8D=Vw2s)9fu4Gj$~EiD}#9X&lg
z0|NsiBO~ME<I~gAb8~Z0D0F3IWn*JwdwY9-fB*RS`0VWL>gwwD_V(rF<yGeY|NMUq
z{6Eovsws933W_zMlAMgLzu9R4z&ckPHo9KbqzY6J+b>ND(5hdV%ZwG$aOruu3w&n!
zw-P7oA1@1W(x=6uz29^9^dv9>V>Ls<glYv_H>;)!1cf?UG34!BSj#QD1=YG=<SC&}
zxYCKPy_VhbiKf@aF2Gt56oD?#j4shsF{L@X<a)@(rQ(ko+~Kn8z3M@E^Q>C6D&`az
zuk)%d&IsxrVR_P3y<&(HISXe&rJe_AbnS8-r+HqwQAruDwY%VY<|vfREzWYZktR#s
z3CPt<o)^#XD~tiIBIx2~+06cn7g9{lnYtS0;2&i*2uS`!QYlnimb0M@87=i98kRRv
zh+p_9B1;F``w~5_TyL}Pnv<eWQ18l;>C)mnLZmkP5voQtmyV823>cq|Lu7lugXh|<
zmXatDP(T?RVyfcm8wP>OY!rE^xQ&{M<!O`pilnsEBN2fSpBS?%=-8mMY`5h<n*;+f
zt^@S7zeV}5<jO?J`uFK$!;pc8ga-f{G5dA>;QzitfTg3(0E@eFI;cQm>X*5<w^2Ui
z+-YSvH2k=df(4Fs(r0y$W+Ix8$Yn_VzL)5;YK-h)2m6%qou`~=LaiL9g>*U)k9clF
zq?WDSwZ@sp1X2r3RvX>xuz?6Bn$(J%sDMB$pe)Y<rxg<e^TsnzC0BNYk6&5sXc--}
z-EM~end&<&KX~E~fH>1~tYbAi2i-UGt4#-CAL|aK6LdXuk4Mb|R4uT_yJ@;=xjmOt
zH`r&jLz`7M(7D>~{VEEFmX?UVFBusL@i0B7rKCM)x{qHKM|S_|4u;{E-?0{P@85`q
zxq(6d-Bw`p`@j28-jD>GeR45vvFt_)eo@v`2k?WlbY`aXs%pcc5XY-O<_P#DyEF7d
zy)Fryepq%7jk|K{IlLkn7(Go5$NvhueA=+^y?f7fc4+<1FN=N#2zok`P`YBA9$S#c
zfe-UgXEg?c{q~vW<J4r*7NiFQ!6t4%4b(qJqvTTqse{IP8PGa2y(tyX^((`d-l{Y4
zOvGv;<)>|it*r{gK2Ixgh*?!g9cq$&{>`}FVq+7G`su-ZOhyuFkcg(SPvYlzAyvz@
z=^|}hoW1Z_)-w+nEy0Gnh1ZluZQd2{FBb1lr{M67p1d>lK3RF<b~Ic7%y&z$Y{`D*
zfBpN#Wd?aw5a?yxf`=(=)Yx2}{!xx?$}b$9+podv?~KOf;khW-Qz?_jPsLFdN%2;N
z1pbny0a38lNru9#`cECZ$HS@;^wWbl*tym$pRUiaXxjrqjzx>MYhJ19*|rz~NBz|w
zJ`ak<1C!TI>lvNe-QM2K(F>plqQjh3M>RhpEXS(wq%?o=!pU~AI&RKP5>eO(Qh|P|
zUli%T)6N8lbHXkY?b|0rjqSU{UwC%*#&ZE*M2=LF9!2mz!8LC7EdE(P<s^=dT75pS
z=ONeMp9vYl9n?!@21D)cX9+w=a{)Dt+Bjl!H02yqN%HkQR`+l+cbg=r_ocVEdkl+M
zUjDs6k9*doe`zhH@IJu_8&t}sOZ0`udRafXKoJkv@O(OgTntzbUuwL?e>!+5qMT{i
z-%R@>`P35ITp%q8r4v(aYIC0wCB4QTw%m6l|CrK&1J`1&@Fuiwrih=@ih=&{f*SMh
z@BLAjL4PzQ3wDcIyyDu3*B`VV_xB3vo@5)(mg30$-h%NFDw5Uv?Ef$LUZ_Z&_8|0W
z&@%XPU&rliYa;mh99A2;(Y5(<2aq~idn~#m0Bvm^O{m-uIxuSlhxWtNQ1erh5oK>T
za7bd6)au{0)!j*emyDb^Cn(Aj*~1*^Q(CQ@%Zwe4*@o_U*Eygp#S>ihHHdRNs)A%1
zHaIG1BZkAJ5ytzh4e>*2<lo*uu1>T**ScMsZ;ongB87ym-8LUKT|?Ht+t7r*NInam
z-i;PKKd#oAZ-!mBns0_8db=;qJg=*-J(Kx2_tURPfxY(v??d3B@2~z#XG6aSCZBM#
zbq~hh_#7?})yZRTs#-@Q_FA;ql>My0^Our+u)UE6SK5Z=DP(j4?BJ&hc_up2q87~1
zVkIPj$K18%Eh^NX7WcwbkYz!jitNAZmHDBr%XAou7mho8eCL7kelwz94L|!SHjdEs
zLhj%&sQ3JDP;|x680F)UIQonGhZxVY5AWf#OACgOgvhIby;qYlv%eRIl=9T>e8u6O
z*pMLzU>Xr!_kebju+STePDUpP9kiR66aTU_P4FIhHP4w)7}Dk$Fxj%g1YH!AH7~&5
zmI=y2NESS(2fw&f|D^%v4LwXu`86lv%3vBDqZ~1-{xS525Ir*)&4G`S?%y&mVa46L
zHD`sB$qMS8#PpiBs|)&5WXb;=Ung7QkE@7Rp74{1PlI>)akT6qT}Se+Q^I?vfg`5h
z8(Y+|judK#-p4wmPKK%pTogrA+<pW4c_g&0kBa^d31Ng5g&$CcXZzD+Z(_MkBP~jh
z$9(5>gufBY29<_)N<aS?Rgb*~h_Shwk_R@FznMtX%eUIbKf2<ccD4d?EKwO8eVo-m
z+t2{(h>Np)aZ)uwJ)W&{I<e~#d7<5@vGm4@$)947ujK={SYH|V9G;&T`Y^F_hj=f<
z&WGqTHHN%rVkYVNj?1TmIa7spYF9FCcf1*UNqWF|+6zJc199`L&M1m}z2$p&0NGLe
z8z<C+q{jw(f==;v$d<y%)H;8tMOk7c`)bu4{h;QypFr#55lCa>4Fh2H#PvJ(h+Xnh
z7wj9ubbM(@Z>qUs6fjX$8V67?9p3LUpV)Ls_U7>v{cw~$rXcHfhuWhJdS5CGN3Wjm
zcyVWo*u4Y@Uf6Snp!(%|ToS%_-3&dU>ygTyDtrLRf^L7{e#hxGDRuutdr04dtNQpk
zoY{cIP{Y)Lg@B0X)LN<0#Ud{5`-kH=pQNp7G#L&unpDON4G7nhCBPw(x-}~w(x-r}
zrf81V->XJeiD%q92LkaEjMO^6`%_=<fb397Mb#-4!BojLMf2*ZA81^)lc23xE?G=K
z3{cj!OV3e|N!Zf~fsUgPr7rVB6Rod)pyCn`!=ski=*Rup2mHV@(cKG}Ft;pxio5sJ
zj9!zUxw(q3S1t;Q5KWRG_LG&$E@=qUV@pDutm&nEqCT9wqcH$)BF;dYX9&igP}pEq
z9@DeWTxUG+K<b>y&l`WM$M2wbjrMqA;%WU4%^maNpV0Q!%K+F&&Oc3Rc>m5bcm7cR
zccgm{)xyWtP!mWi*z#e6cO-PB$1)KBuaxLAVEWf&G=xkOrD|c4@cGirg4Coo7L~wW
zxNLj!`gJT}-aLXV@}OK+9dTTswUYG#k2c%a?iLVTwVQCfipMAd=WJ^ZLDgzKg-czu
z-VOSMKAy;!!8xbrv!tXB)7ZpV3*T^-X=N4t?(=#1<$V|ppQsufYB0Oy9WsGrabYNU
z4(2%$8j7l&>3lmf&$Y&_IQz(t!>8VX?ysVflj^qH{jp8zQlr}dQFID}6*)d=)Yeq7
z{tW@0whPzd9f?0JuyiPonq>6I71eSM!;UbwuZ8Q2Cp%Xi`hgFDT%@<-)1|6V7qoL}
zRc>Q=tsUWSukhvKerGoKZC}8pK<3NIV3?y}1FmAI?B@WGORrIF?WaZ5$D~h1q8{sm
zSu{hBsXnqr5#4s6@b}5k*oJ4JF<!Q#ZK8p|I&*@{0&E-%N75T@FG`4Xp<2mmv0f}E
z2;dTU)V|&KRJ44txivt2E-oZ)Uw@I$l1zM&<_vKAKo5>VRKIUEn2`#(xw-wMasG7J
zZMJ?3p}7bM`V5xZQF-u~LJsPkk0!%zPm|eT-GQJoX2l>xbci&h)eUb9VMv>p{$U>2
z-t#?ahaO$oeYEnYs<A&Ew2)ixVuan_1vyk<i!7H|3~rP9lH}F~8S7OCaky{wD&ao8
zgTKX|F#0Rd8Yl3XbpnTfzkg5$oBw^Niv3fp*O7#K^AHH+4+6PgULK2@v<LhZ#g#%F
zZ;2IzzpW@rexzsk`|ert%1!u2F<=<u9%#<VrGc6)=b;^u{~>HWP7wE=NER&HlnG9Q
z+x-XwfoVtE)VvPG)>0k(@Dp`<EDJ(D5^z*seHH&%h`MO^?jxqCNfqwkV^(TJF!&{o
zr1}wg>(XY_Mo?q6d{6vD)+ZB6j(j<DtHW_Z8GZV@A1fKb)Z=VRUg+Aho^WULF8E*q
zy&>wq!}6r?lwC7F%c~<S;=fA#*9`kq+FdIqgPttWNEwT5ANOcr1@X7AJ;$DXVcPtP
z%a1ovhy{*xZW%BxVg2)ZzG|jQMJAbNu+)E~*uc#G#|PLDYsR??$|ml=5;mi*27vkl
z*W*h)&ZW-3v+?mj6E)8<wOq{WK4f@g`5V*GugU|m_7oN##7CEzpctP7&HC+$uPr|#
z1vBf?xnK$!4DpDpP^{TW2_td%tS51(U=aTpJVY=X@HbuR3*PVdFCP1yp%2N)Akj~p
zj~7D+@#;NzICo+u&mO3uTYr<~+?}5(Kkur%u}eP9dHB6^Js6s@>1-z{7M?V}I_6nh
zghsATObFMiV;mm24Tjh`x&ByYRE-io3Csl~2cntRqv76oP-2r9Ad&LXGOYAJh=D*E
zMX4X~EOwYe@(cs!J+M_owjB8o_8l{&oX5ZK<#@+ywcn~b`nJy@50AA*>Hg`#5aj-k
zm19H34ssc@Xb^fi#Z9A2j9pKoN>`Fk_;O+F^W2gZy?Bm?(V@UutO_lL2nWa3%v>;C
zT)x{D!&NQ5X75G*8=tYN-WndCj^Xl7&<*|_`V1Hs{k(0jEFe8v4{63UQf2ygeh;g~
zdHN&?-TZhfU%v7z#&>3S{L@u@`>W)Gi?}%14=T-|zWm1L7)AIG$y_=MNZ>z|wd7;4
zM4<nN$t)*>KG9V2pNDlw?(0;Dg9wy%-1dnILNXfoaKF5cck@(xFv^aHb`K2Q3(47?
z5pjIUt13jEzprb3IeH11Cn6t0^oE{>zJ$EU;{-oev?4N?4%{dYZr&w-Wmc4B(H)Nu
z+4e$G!p%dj6Bbx%A`L6lPNh2X{!$&X-P4$f1Ar`UL6Guw{|y9}+I3UrzFE-H$OXox
z#QB}uImITVxmrxaX>*H-;PH0N9G3pk^f#zLeGU-62vZCH?bQ4DaEB_rSmgI|_Wbmq
zfu7+f)&KIPYY=%OHAK$UP6?NWLEizuy+3~bIgmOgdhtefeG2VY@}Z(G_Xfa~DB17)
z^ATH%J3EVmixM%nD}EczN6p<2Y#N={t}FkJbA&HeyLq}Xse~@mnCi|~?~+d+ynh7|
zG)#9dgtUY{>uzlYVBQH%R**~dKFu5O<l)#0ZdOFNW0v5Fw%j^7?fliDe3o(9)DP-V
zF2b-|7;}1?(+7aSo*fP+26y=bmy8d;!`9B)*OY`Ga1?Z8iP_Qo-@2cpz65+CESk>n
zYZm=_Eqo#&%$P(77wTn^Eb$l0CRQi5v0V@Cc)6B)9{+F01_!f^>AMKVh-A+WoUa`@
zKk7eGR@CV|=k}PFz_M@C=6OwJ>|FxexxBX&_4<RwFLF$*yVGKh%^0ETHRB{_bH;59
z-js2O1!7JQAqO#`Q*75WsR+2(P{&8;)Vw|QKrmt8?of{X-{c5X*(2TiRh=pf-*+1u
z+!Z%-Z%y3!L9%U~A%VxZTo+{z-!w*tD!dThd*V+${vFwprt@!*_g{B}G|KNOu^^#z
z<7r2l7%Z~rs4P`kuYuxA%M&^Kzvev(sx#-5Q2Z~>TlBk2!|cw*rz=ZD<Jiu?S+uN^
z#0nyL!lWa_;vym~V6mIR1$d5ncZOJ;pITf5*i#>L8cZK<ukf?Hnf99rM`S(9u+xt6
zvcyw$f+MZB*WdD&$?5#6AT7j;vAI5S_;0qr&A+B9$!ZTd(@>G*)ozxvNG9TInWujh
zwv|?bmA^c}ZqeXGZS}O@8F0^JK37yo0rir3VlcekCuH+HY1jf-11lzwhkrY^XG3?^
zV5BO)1EUQ89;fbq@+dLMOfq$!i5!JtH9mhAn^fRUPe#c2^x3s}epL2~BNFjt!42-l
ziR2pPo=iXAnXaTaY#<i^H*%wSEHX^Z9aqjH*Xps|L>Lda&X#<_t><S4n|3v;O4`?d
z)mzUW=z3W;$f-{`rS-9qBPxTzo8#ebRi6BZ<&dz7D8y=)np)XzR!5mrkp;gi&<$9t
zAVikP#1MT@#VV+8{yzO<^mUJ--lBg8%mrwF5^9@g>eaq+#A~28rr<he1^QTIGAde4
zh@<z8(A1A4@h7I3WgC@=fnA8OHd8X*{~TT~OVIDs3B<VF)B3f1M1M1+h1uj-{G?$c
z8TZ&!uCJ)G-(ov}K;)AkxG@TW_GE{#ygrYpt>Nl$#l=Wgf@RDOO!xQwLB#8;EMm48
zEYkqtd6ez1em)xE<TOE|`ntrthQ&4$h=Dhv`%{8>HU8g-H<>$Kw(a@nfU}zkeTDO%
zwKikS#w+h`J(-1ceH-h+n|lLh%Q-eqcb_V0$AgeCF8rP3_CVChZd&gjP=j?UebhJl
zV_8(J?P`uIK<L4q?`=Lr|1G>{ey3z@jPW;K=IInA0+DGXc>#bgDT^~9$EO(Gpa*GU
z_)A`%#Cw;KH(38Bj8}tZ9^|*L^D^0?qgP`-&SyU1v<h+?-C-WHJay$wyWEtUN9LSv
z(F};%Im1xac1c)P{Gw$-LuU{tY@(9lASvMf^Ly1QKEU({2vN<$zM;<7;irNNfVcmU
zoDM_WDV;aWQxa<|&o=a^A+tzZ)$7j#T!EuKTlakio}3EzA_QB*XCXXPSi<HRd{lR$
z)Lyz&=Ky%ZluAg$o>x0Nc&1>rc3ljs;_85|(QBEKl+TP><Y(%jb*B7y>Z|QT$1!_S
zz24QtDSD9G=TZ@L`<8g~9o)wAu$BblG5nN#4V>TG8pv?MREDNT70-88YqeQ8dHi^I
zdXLr52KS<T^eLflkS;RFFwGgU?B8(HU-uOD6x31m@9!$e=H}3~0z`i(2p!yUabeys
zZzv4Tt%|tN?Ga1qn@76}fAc!71eI5k&O90=0P@T6KYG}sHP6pr-Q8RCkp<9Z-5C!3
zqEiwWX(*(>WEl+;{6WeKWvkHM|Ag?&?mRP7U#{*@mM|>ZG$rC5XKM%8KgF*qjlsl^
zCKgi=mp;)gOA-;>f}Ce@d3K@^fR*;hm3rKi5aXOkq0m6t&UtELzKQfuOSb8HJ8)65
z;->qxm032y^sPS5ZQ%qg7Qsh&lm`u_^x=xuGZfmj7KO+mET5=8Bg^%8G*5+cAGSga
z2%&@5b8~miM-O#gd1+Hm-f})wsnBplT_|T%)}V`+K7x<Jw_;mZX_ul-Qiv<cr(V||
zmi3c<%4|Z|ex@UIwNej0^QX}vTeMo`PJP2=Cf{d9^BS0y)g{RggOynGetTVwfao*i
zW4-`9xx;Ki>85pSI9b11Ke>^<`#8a{=ohT)+%KhcTqQPQO1D=~@b`L^q%l+>OFogq
zUDAbe%|-Xt=-=SKa=E-W=^w}ZIC&59dW3W;n=QJ7yK>pa&Cu+t2Y;Jgs@*I9FQqqE
z-PLaKS>R8dnbxpS7DqP*1yrT>YCoKKQCa{zsM=@#V=o{P&{h&P<8AmX-_&ohTd?q-
z{5?463D=B(sGD6KCRP(~#&ICXSFdlm-Trg_;ql@Xt#9EdsGkz+z^`_%;aPpP3E*cN
za7bqE%CMot)7v5WlyBFvas>LmXIA@jg^4FeixKV?5&sl~XZdLuyNyji=8WQEVWP9!
zYxa4)ED&`?H5QD=RUZ#D@gH5bQ#Q7Pf=s3UdVBl>Q{CxNz^y&`C5SdK3W}+G=F+#l
z0F!RXO0F8+8Ebzu3E-AOGM~RaO{D#Ka9kpdD)?^#Wh525+7o!!IVQ-R<D(&cTK)d`
z+)ip)?JkHHUR+iud2|-galb+Hym=#^tQ4geTfcELG$EM}x9Q1nD-@!^8F|2GJ{uXg
z0DU>Rz0IjHZ!xOcaOwZ^>|w*z`h^)nyF0aPkS39SPwjuKB|vlzZ~s>XZ;j~Zz(2fE
z2};lEL!P0zN7Y=Ncj-k=N;E8;EtFjs+yBOvkx;&EJ1?dRg<qd-G4S?;kpf%|S@u6Y
z4Y1qmsa=9MmyL<}ggB+TQEkt>{lJFFFvQnG{<Ara&W@v+AkBsushQMhx<&TEZ#u&8
zomI6wtH_6t(66RJi`-j^hx`^Ir`l0RrK0O6CTiu4ZU&Qw*`Gy|jo5P$q@bVG8n{cP
zBU#h?zJbP@*KK2rc(WA#FrCBW>Ue(`Dm1&;sO_T;_p4y?0+dv`Lz_XAL5o3&LMZrU
z4cXqUSd+&^wI?_KDHHleLNd0MhZ~+-w1zg_E^jL%EGNtm<(b93WxvXE<;#SkV!!po
z?EQOcu~=^gLWS-gGk?GWDF>LM6p4i#u4>+x6HlIZ)9sE4vHR9G$Qt5_ISrqRj$t$y
zTZeS>S65qjL1}YnyBaL$<!e9&Hq9jCNO>?*@GqC4_ButDh6cw>zf3`VDu=j4Jc1UL
z6tLTn_qJ<~7XGlU@_?9I33YYYH+9vZ#&^21o5_=M)NEJ%*Pk1DMg)d~hm2rKDU3Sk
z{INTZ()ci2-*9T%5EhGC)ukx(hMs``%G=Hp<2K2b2?Z^+X8&9KZtG#zVYSDqY0LE;
z(VSGMEDhEP=m6RZR9;nvv9E|`{GhWFB;ntpZ$CgaG~aY)eRJvC&T9ZtlUmH*P0AA<
zbCh0a=^2+O7TMOZjJw8XNkSk#vG1|3AkC(R%;v`^YGX61Fd8852tk~rLgE}rh-MST
z;u;<6u29n?b&AkYUFUtOfQ_--t;j#Y1lEyQx7$GTvB-st7T#fS@r==tT3{H(Z%KI~
z5N8Dj<Iy_t2(n{{MUQL*I`U7Ji6m8D({#tSsEs6q(|)mVI~U9ig$<QMnl7vimrhE`
zAV2oqH<$Z?t=21ZC*U)synoV<C#^(j_ke}g_=PmI>Wvit7J*UZmxee;X|jbH0FkYV
zw{8&lRBpnH-MocY1S{LYAkIwdF1YDL?LWpp&P9%De+H&EdWq&yBI|p!ThN<YGSKaP
z4JRdp+G%RvgxNi$J1C>AF@j|H*dpr-W!@Pk+HLmGxTP`5^9X#8er7)DVM0m^YZJdx
zv)1<AtOknQW-U~O@BqvQP0({sbvUqs_{#+C>79NI0L?vE-3Of{x_>+ufbEW{Remf>
z>Seo!z6<$4<=XiA`N#y-^&J4dc*hrJH<648XVeE+g9K<l{As78E)RrWXRqRi2<GSF
zrdc|7c*cAgDPQE-Oi<HVcp6vawCFOL$`cSAB|;Q<Er{<6esf7eU#17lTk7`#RF(O?
zltd!fzMIl`$}co&E?jqULk;3$zP4^Vx+u`hXocCirvAXV`m2`CF}oKuN}=8)K6+&f
ze`8ltVA;}W9Hh9<BPnV$%{cH(@f)J>wsRpr{~U%?*HJlWCUieGn{&@I2iVj;o>J%P
zWT@!giTI`r?1~yEs%rb4XP_(eeY#p&7d#+@Ngvx{7I~61rylU=E(PTc*K>AYxFxpL
znJBImstx_4_}wLX_$2G@($$xs+7QK_gz&jjZMGeOdVZP}Fd1|0iuEbQ_{I@65&XF(
zbJ!(Uiwd3xkkvlTso%g+0&?;b9cZH&4p$$79V}I<4a2~-(esu61vQdtbC%l8&{wap
z3lFfXgGtAbb|fs3n=5vdqeQU{Le6P}2Na43;pcSmjIXQ8rs@6fvY0g?jR@)Baz<Y{
z^UkNYldXb%`$lM}8`Q=y(i0XIO(js{>+W2R=J#OQY)ciilJGI!FZiHBNbh>NF8e;f
z(xyd>Jr#jKI*t%X<_Ox!_jiozldByUQ2f65LcG|~=w17>#()`K+_ACGKC9;3{XzTU
zo&QZp-dh$&>9u3FFRDt+1UhR2z6-L3n=85Jrc%$-bFn>zpf5um7D4;D&Tx>y(G@Wf
z+|SC*P}!)(%5XDK>nP}aiSj9GgaUC2D`D(TV>Ejf_;AepVVCB@Zs~qgCcv}6rT3S2
z+q>1EGlz%MR|Tq=INKJQpIJ?)M^fn?bX*wU5kQ0LJqzj${dS1Ad`^I?Kj)VNojgA7
zNp1lIXL%RD#&rISK}AY3hkVoLhdV!vY@UfeG~X&!v^E?1)zhV`s+o5Vp}OId22`)s
z@!{VPsmy+iY@GI``C?h?br8zDG1<f4vRT8|p{DiB=-4k%_hg~&U0E0O@3WHIMqRC6
zYa^gQ-Tb2azgXp_I9+i#cykqMvfmOo8+20=6m;Dca&YC^V!B(L;-4z8SRj}(?AQlC
z<DaQleYEcQ{Ug%7b$Z0>CcbdVX()+!Z|9x>Xg`fOyJqo*AmX8<PfqY^2%g{h^}4tn
zL@6j*?J+@s8!pK>V_EWk&sVX|&znY+qx*niM#6ZK7ib^!d9brp;S)AuKhk2EqUq~`
z8*H$&-E}!}CoRE<)cNevy~&!s+db94tPa;nm3Q_c)hA3k)!22r6cT1Cz%Lju7k%|B
ztK+`_dgf@KTVK$Vha$55=6aQGFjw5QZR}GiM!q`gtmFwjh}nSeBU`M`2#wzL1sdCl
zxoghSXNpoK9TUK}r|Fc+LM4%rbevWo1>C=P-BxNN3Mtq|r9Z#Qr)yS|It@VdG0*Av
zos4KhUymY<cU!PzyR2X8vZMcu228@!0q(MqSBUA5pJUdwKi?Z@vGvaL8jem4<U??M
zPn#Pp?@A1s*yQ#Q!8GXEVn_q8uIoq8`#kg70_{_l5+6feICHsFn{#sq^3;O6ZLzZk
zYWwoJ=|ZjJ%IU9*_d}UaG2Abrzd(JSzV+v}{oQr@)Rp1EUdZK$1?WT|`(QqS;ea5p
zP=ah}!xP!LTODr(`3U_Szgp_#DBbpYo{Ox8DEV8x9`Qn~08k=>|0`%Z(+AVHu>Z%j
zPW}0ym?ir(@78j|SxQ!uN2W{WVflvh(UT6rx<XRQE22Ey{LBknnKsT!<$X2|g!*b{
zc=mw#s2dyCjYQw~v0OH-#iOpOH;IlJ%U}DSuwduJW7V|b+Vk1hgU%8R@wkF-t-SL)
zj!wL;w}(vRE8<+7^uz7HSt;PL<@u@s%1N+^R%6#S)h$<&6jsO^r`tZwb@^HGa>}H=
zkK4|RHBhzb(heDGX0gVO<oFPYr7raY4@vTGNbp7Zea|*uKK4f_Xt2(dL%QlSegl4G
zCi#a%jevz%gst_rhz63X0~oSIq?^ofu34re>-Tp~O`?H+I&}h&X#9QvHvei<ww)mb
zpBiPVVdLduoij%h@hXh0RKT9v(vl@9(K>g}v1JR1@gL}SlV+o{t&swhJjhS9mFcf}
zL0Ad%5%B6VcHQxGvtf3T==W`m&mcMi*O$i!6<xG_Kf<htg+|Fc^0Yx+D%K}IOxM7D
zLy)SR;|KIZBgHu4En4%%DJtL3T#ktQ^<kHiH)bspHcF=~(t?a_%4GG^J|~Jw4lHjc
zwfXbf<1ila>eRJB^L*li&Dl<0ltG50yzh4AScY)yxjv*eIh=%y+tmpK^GZn$q0Ni;
z7~gsHjlc@_+D`pVj;y3TYx&b+e3%*WkLYW2dfygjOF!YNl?drWbaeM+R%a8w66H`#
z_&9DFo^J~-Z%|i$sWZu9k(3a+i%tw2Grsv$8u`vmQPBv8;0S#UI5%ORWbXvQQ#PGy
zC7Ls$`m#1(N#K~|W>ma?|L+vZSd|kwzMu#FU*fc0wKV*1Yj&~L=EVisuWH;z=j2Po
zaKS}jy~TN79C=c#3?b030{8lZ#@isEFB(^>h7*(;7~L=W*^(P)_02V^n0p0zksuSt
z+)v+2#VJM)$;bxDGGy2=b+e1{zeMB}84=ao&JlQr11jjF+kD``vjco2^a1=#auN%R
zSZc1XJtq|^UY}KvWxR8!j&xk3w7?l0)Z?Lk%Rp-W!Ga27Z}yVIdP=l3ecvI3XqX2?
zO2?9D#IGXklTx_1F<&lW{}5<m>c9V4!{X8$O#BA66-SScIfJrtBTg7cM;;%B(1xUy
zw*$X~5TVCBSV-*T(N9a4R-g-hdK7I)dI~FWMTR+kA*){*$@KyBU#d>%Se!HqL}Vu~
zs7THY;KhY8=e}9zCxjDT!<C$l$bS*57->MY49I>_+}C_HuXmN62uuBCN%Nntm2H2Q
z0Q?QG$jX&IPF5$<5O_CPD?(zPP@totXAGUy#7}^U<j@*`t>^GC&>PUDDMxpUT)y*s
zAlT%`Ci|awQaI>n+_Yw08<B<PQpBvXJ+T8Ch>I<(IGzK>?3L)o6k4I_L&~cyR`$0(
zcGQULrA|$$6BMq6xIdF<XA|!NZ?N*X)vi+rF$3Jc7h$}h>s+z|)N3?KJ4!cu|9Bl2
zS3-<!c4x-7ZpYD9?f->RKWg}{9!jrSp;J}7baynW|F=Cw^S<RHTZ3WaUgAL2V1nSd
zGXwL-X3Uf>-lf#NSzFu_V4Z+^yB@TT!~*0p8;O?y-;qJVW@zQyz8{-PM+p=n<kiIx
zXH&HVZZ++DN;tMJ|81aqIkR@#p^+vnq-I8)%fF&$L#|jjS)pP<mr;%jF*)$`4f8SJ
z@V6H(3m2@qON}_NVIl%>NA@?~7{t0N_xY~Fn}%>H@{A@+3CCKIQ&y2o1FN1jpWcna
zk(SsaF_fbZP7yWz&2AAl(tp)a#pW!b?=1evqJH7cu5fRQrZ0<T+Z|PPo*(UEgSmWf
zvjkOJ${yTqHwdM;`3>Y)2Oq7V@}VA8Rx=LA`M4(9W|p_1yf!oPU12QMP1CU(8eFVf
zBw@6EWqwLUs4)tD=AndIQxF3|dJlxf0gJN2w8QAsnuVyu9$6|-Iw$s<a~3QIO6&~D
z*OIpEkZ2`CG2b4fYZdHfyZr&vpOD{EqG#%ncIdF+zaHJK-F)J#8jKGHBwxr=1fYV>
zS6@mONy|s5<Lc7s<}6FzzJsrQg9i%Bnvqeq_Y`0`_h>?C|MAqq4!J#sdY51vAnr=%
z5C3r8e#K+&ys~mReaGyI)AFXK2%EP3$vy0=zvQxI%SZPh&g(G;&eG<9wJw#bhfj=?
zOfEErvwvG>VR+)H-C?u$MsF^9tgFm#I%B)g_SO(&*Gt{5tFRqNhy~w|LtX1=ktKJx
z|HS(!D+2u*xv?9^3O2NZeu}b_tyPu^W6tT(yV+mIKOrV;?>6eZM_hqYxQs+`t174=
zo2${uOd13`>y!Y<BD5^UxhS39P|!mX+IQ4o*5LB}>!|TwCoIAe;$~bJ5K;Jyh<C-M
zablWMIZI-iKnAs@wifq@<01nqd}8m=J!VK}zqZ!lTn^C2c!K^C-F4w}Y#5e{8A6v=
zU3x{UuW`<?QGdN=G9lJte-*gMAzT~ZHe$+K4^NFiUGB^(ej+L~@m-bkwgvUYW;tr^
zi}dG(2Vn>&>SKW1jp$zvj|qJ0<3Eu88>CdkMhs&=l%(;pV1t8z9qU@s7P=hIx(F@h
z``U}+ud>D~hsk=L{{9bKXJ*2>78ffeiDOQwae5=6Q>V%~U>x}jaMbl-wGbfoSOHr<
zw*@&<l;j3xJXU$VCQ+FK$i28WDjTQGI2kTX#<~pw(|>gA%}$4q<db<lrg#9xos$MX
zZ&me$^8o)VPwEf2H^^q=%x4(fRtePMFcappUr7MGRF4c3>UO=&(woRfhqEsX3l<3z
zOM0;%fO|Z*#9vd#)4%f2)e>GtA<pF?^$++;KAhl2r9?`efI+-k72g~cv!-q9LI8a7
zTyUB}!9PIgVVIENoOn9ghXi_UTRyfNIL{E`2E1CuPYRF+H~O7?pZ~T*ak0p^;Y+8~
zSwsjYE6$yID*#!9i?b#k?{)$0e~Kn|<BqqCj%fPWfvt@y^Y#8H73S~`lbZ@@ba`19
zOm$9C9UrL6pO4glgvDNM=F?pRc=%4Uuz+UQ$~m3vqwmFbMFV|EWI7~IQu`T2Be+xN
zvOTp@Grm*{DJV7>O;qm?C<MIx`ExG+bH1Q#%42al1YwM$$V(I~RB9AzW?PeAVKSOj
z1300oZgp*x^H}Vi&hQa*vrwRn4&1?S4N1@EfO9tqO|32Tw@iEYfQ5K#w05UAUVDoB
zg}OJAK-YHn<G3gG>@XhgdAK;YlRW$T1WEfTQSlWxc2ERT;bA|Z5qAkLnsQYR^?T=&
z@a|>OFxpF1!ZOq;A+ab%$`5);GbuW-@uNqfrAP`s2`<Xo4B~6m)POGkaIMP{rI#vj
z5w1#sr+LC~*B6~a!?d-eiisx{>mb#8$j(J&doEH$6k?G1p{%$1pe2=5E_1cmz<{mY
z+JKJZb5%=fYHnFCxWdMeX^tSEjD;L=@v%0Xv`~W>9BqC<(9${J=5m1A9M)~Ku-v8N
z`pK@%h#1_96Ji!%+iANvv~7aq?y`JRJkK+=J1h)Wa(eUd>jq>&0ZqR6cdLiL#6ITu
z7iTY{w==84-XTqUUcY$oF9uut$?~9NwZ+4?D1`M>vra5wp~ktW_@-v8ll35y=f{F0
zG`vvY<UE6YFtAG!3Z2WZmCLbE<$@_$n64jm@p%bc+wLVtMLwv124}gTL*AT}8B_ig
zbpc92?^qqlh@66hz|Iu`J*@jx9S~_YJ$l%wSXje;T4{%CrpEo<fp%Ck59{x`%Oi<7
zh@NtU*V<oqh`z0*Xz}nH;xPoP!nu9hmkI(WYx?Qebx1(WJ4UUD{3XR(CBipq*?64<
zz)XEjMqGg2ATzG<s*x2k0WVvU=Ks<`G1@7(I*Dn0$PFfWWNxa^=d!^;LW(EdVI-_-
zMEhL>@k*HIIp5;+oZp1+G)Zl56|i=M)=o!5Px5xy*vWic6L3AnZR)BgWD_^1KOCs1
zj#^z+=_#C55<nnV)5chh$}BS#oS?0z#b$8L%0G|AuM?aa=Ms_umcs}4y)p~AZ2;K2
z^~;NX2On$s60=RpIn}d53ywESP4<E_zj%RE4c3E?8t4~s6Xx}-^}rLF3K=WMa{@Z5
zCypl2R%|b2h__xn=WxqMCVsqz_qWg7S)6IKX*#K-diB$+f_2yXAOm}ryk#@hoEkN2
z19)E8&X5gxw%uA~dL&RGOZu0-IKR4{S4O?rENj>Lcuplt0XjR(Hm)}&QvdpNO0x2H
zT6Qq<-6}x4d5O{Ucn;g_K(j$7kY9hKgDOp=zGqmbt~C-c+C)qV?$n8nY@x=#oeoE*
z@rt=3h8Ma-V-Ff}!{q;ijoSZJzb?2@deLS5ihvUa((2iQ4cxqUIo{J{mDfP|qj1bG
zL5VEogseIm*hC{l(K&@%|1#^XBo-bk2iUU=%iVHS`3_AsWB@6w!#g6DQ~D!;8Px(U
z$BgpAD>eEjg{J^I=$4K(vd1B((B4ti`j3IhW1@Gqw8teDHO6c<#?@s`oeY6OTAyQl
zL*e&$X`kn)jKDg#H_hfp005o-7O)ZWCD$&ne2=9k>|M3YBo_ivS^W3=d;Bem={b9=
zIKt2ALtO2=hB?1ded+Y{^;r^<bV)1UbF)FI<9TMRb4OIs=%DD=f}Yd>{JLlpbLnAA
zicIbA-)49e8`_j}^;NZ-GwL}bXD`2x(-;S_L38YujrwpB+fm4+a5THq;og9fjYfgh
zx<Ay;bO*2{Mcy?L2GX!&Z!*TIUyL;pXyb~~$0F8}93W%qW!j&K=Q|dCB;R*uxq|zo
zcXsmkXYC7RNB|e5kL*=xa8EL7tiFNMg#h?5YMMoWZ&OW|y2DD7Y&+*{g0W+U1cL~7
z-vK54tOZ&1h7#@PVSOeTL-t=YSQ=6J@oo)c#EyyXicYR_l_q4O#8W%1Om8{O+E8xt
zZbI4jX2XxI!p5xjyHBNl6TRND3%aEUI-v1BlQxBNHix)lQgdxdN!xnWT)yf3&DAX}
zA;;UGmyh{P;olaIxKBQs-+gz^$kMdkygK;^pAduxTP?Udi;_9{EMEc$+3UqAaIRHC
zm>Mk-Inwlg2kxn;`#GLP?33@Lwb`r-S_t5&p0QYvNe=Q?4;!{hjD8^(wjOw6=SX&j
zde&>#SMF*-#yz^*hg>Za=PfxV{(7|ZDrYPX&#%S{&(~}o)Be;-HethQBqsIe9U2Sw
zILl%Zs|_Mt)Cv440g<o@j%=RA0nPgCcNS;fJ6vgyL|^L({v^p77hhHzQ{LjbpTksk
z1suUlSH3p64y%Bvyr}m;rdYStD6C|^nBaUIab%vMd6wgAOGk*GNr>+64(A>sF{4Qt
z>Jc4wKNi>)j>Rg?(JB1$a78Gg@Qu1f_8SfxUK}yJcC*WAh4)`Yi`9BHuK<QwPVRuQ
zHIW`gmN}S<KZs*bw5A$uQZg?j70#*aL#b{_(TJ0*`ydX?vTw;@m5qu_AKklWmCpcA
z2nY`&OLiXo<-kF4mf5~GUJE!=;o+{?tDX`K^0~QT5yCQ_n}2XrEDc?fJdZ%yIf==9
z<_z$;L}%6w&NF|fZol37{vS=eYM3;&UCKUWl~IPe2G<iiMylbW9Gr3dA>6YZ<GcGQ
zKjx~_;a3u<gkN~Dj+^S3mF)en+4`ar7~p}UuARzI1`{xID+yg*MTQC5p7k$-szL5$
zjEYnz9#4R3SSJ63OOn+zoh~b^j543GVYm;sQLj~Jf6%)S+|W3j>TD60cmMJJV*eA!
zV7$XSLPu8}m1AU6J`WtHvqJmx;zNONuu-8o@r2JkM#X3oS)14LZWDHO`#$gJqRH^v
ze=BnX5zc7y-)8y-;0*WZtQl|uT=nEGZ>peIh3|IQHsU9lXLC)3O4VkMq`6p(XN!m2
zjQQ7Q{*N8-=YqtCa)Chr`4M-qTZB(AOT5n!MmduZe~qs*>p?Xs9wgFT%@zQyKgSky
zW>0ygDL;9FI{?(!>`Y4-1dWsX|5Z$(YOghbPF%ks$W@@%8*~;g*T9ajqp^Uuy5fQv
zy8Kk`{!M?6i8110*D32KV|F`YYkK4Gt^lgZIL>jksW%3{^vyM_wp2nja&&&%-(|U3
zP;?gf?XPgLN5mOsC9_sJ#0r+hP?!ybu~=t0nD^<B4Po&?vVD{)=xnT2M#lWfnG|q8
zne)IKAkHZhWUPCTSkDz=+*vaLxTj1rgr#yMoM44gOH13gFCx6#5o%k*lj9uh2~8>0
zK1Mm!YvimPn5IuHBOtb=EKOS(Pa*AcgqC^77RRO7gO=+hehz%&;st)57}Ytwi7H=g
z<UI8i#mWyNT<K`|EY^|{9V?X1;4#kAT*l@p>E@a`rJM01l`RX7B?M4&XA@CK`P?bm
zP$1Q9k--q~@POQ-xvvX3aY*xW+D$Rt1J8&BtjWI%_<cDY(+rHReeCJPAqJ;zyRFh0
z@T<i8Ru}tarbIub_eA~sIzth9&b__+dW9mnn~1|)1U|=lqMCHN3zblJIF0tMVp$Ru
zuqqG?5&Gnuc5KMVPlDbF-)c@@DrfipZOWkl)tDaBimG>5GoI7Aft8euTfkSpXdAJe
zEy9Yi_42)_TvSFL{%i7A^Qdzk?>BA|5Sz?F%;zbk_Tkc{^zT>~rSvbg+755HNqJzM
z@2TvFz_-GIcLK1x%W0+k+5I5N7TAOVr07S7SvPf*l5<y;S>5~hAEJSe6tb3DbyR;w
zGS9I&zAC@=5|b77s9%nt9diFI0#*p$AHpk|Ke^ElSHWNm8@8o^{e>2ub9@&@&MW^d
zxl`|N>(Ky76@$tL7DL7_1o7zlWZi>@S0ze>m2lEW7i446b%SRaEKJLf{^1epHCtr)
zdi^16f~e5K%3L&s8w|R*APGHPCRD#IlO=9%?%mB$+c{UoFk75{8TE74*6-ZpTkigW
z*>2dEu4Fwj{(<Vmwd9vfh`sSY#IXGizly7MH0Y%k8ql0bRmrjz^H?Qkry>bTGSgy_
z>upM+#ypqDfNpZNn71<P-VZZWY1*nc)n-Nr{Su8rW1DzJnSWRzwDUV)#H=;;8A{-t
z6FpIy=@`<f&;#6B<0ff!ZfB(R*m8VDetcU`ZP-VGf0^w!uxc0lJ}<oni1!a~=;u$O
z<pD_g1vNgFcDJYaCE)i5*q#YvZ`Hu~e?eBp(e`9C-Qn7UdCV?@!(tPt=#p=W?TnS%
ztky>g1$7iW^c4gq>f~BIl*>&R?CQWV+I5`GbXt1lyF|C@Z5S7@nt|nbJH>ih@-B-e
zi;mz<L6{|f^na2a{m0CWk)$rVP6Y&K6xwyur6J@>pTi~4H7TLQ|83sj%(!#l*Iu^P
zc|t*Lp9W^L%qpm<r}{dYZi@%krE#HUG%y4DC7r_|N+_12@J+ZIo%;o+CFdC()Usx_
z4~hIG4A)*I!2QdK33nsqb-Oo;wa}O!go2IB@qXl3Z7ufySn(tF8}4wp?=#7PB=fEk
zEx>GB-c7igE8N?x)w-LyIMfm9GfFY4&i9Ms33`*w(ROe=lXK%awp(`=wzkv`V&LKN
z1cA~cZ*PN&w24ftFd6S%k`k0^hIF@LSsG8ol`!Ajpo(~tk(iZ!XDd^v`AghOfcHXw
zyC@b}?@$7p$w>N#3}=}P6(QEP!@jMo;%@luGv<fM4uYS^oxKr3R5vZ>R{`h%aL=G=
zhCGM{wp#FGLv2?1E>rb@;$TOq+Y(UbyMK=)K;Y8D)~ub~Ygzr1dDa>MU*{y|_P6%Z
zYz5_P>yTOXGam}Lan=xS#Gb2XuS}h8XH3F5#QdF(XYEXFva+?;5XYD}727>}beS(W
zoxcDApiAzVrhk83nlq{zJ2QI7o2;sFo@kM`k|7_R^3?6fAPOkGaGzYNo@0`-B$of!
z&e<N@J+zK%L-SNn2cRQ_YfE*g1e0b?Lb&zXFv>#z4V8XZjJD*(8?#_$bwY2O#Ln6)
zyb_yZv$5)y%K*yhr}G!lH*<v^O%r?s5NF9VLMQy{mG#mX?ydCy>gIG&sCxvN-S4OV
zl1mNxlkw9!<I9@r^grJ6$+N6cH+jbPX?meA870<Ai8@M-YaY&#R*J)-X%FuV<B}Mz
zZ#-CtKYa5jk@KwQywmRD^|j)hT1ksZ!b{l==&e^gvTdmS`Isv9HRFf1()wzd*_%+R
z(DvPq1u?M_-gsDjT<?Gf<F-|PlLxgB136qfd9n`svqpZp981}Vk|*EtEFd!hK|p^n
z%PN9j>`tw6+)j~W@SWa4ZyCrn49P0Bx*cT+d^WQqmcJ?&+4$8^&)FX8-5+A8UCq6x
zT1Ks)FC66!o;c}BG~)Cfj2Re38_55=j;`%ykg+>bYHfOTA7@4EXzCt4OwUmupkD7+
z*zBz|r!v~HtIiXt+$zhbAv;(sJS;iekjbeOcn{199+OYGX5p>oMo-pFt;-ci3I?n6
z6icT--{$C%RholR!K8}6JJzn1(36;K^eyQ_R~W-hWuXk_@do+k)ssEksd=O7nLatK
z-K?Glr5~eFV=ZEmb^p$@TaRheXK6uHdVt-(Dm`;Zb4f&$m1LY+erY#wwibD7RkOUZ
zvoRyfZbMTX>sZs6ECIU_RC9YeWhhx@rTUDuqC6lon|$Yo(hMU-0u0DD@I4ziy*eAi
zNzxU;1HWC+)!8+7ZMqXO3Sz4db%v}84+$ow`LY#K4Iq4#6`XN~^;!vb^cz2gSjt=z
zh=iCcO|p!wxn!r6z)VC!L7AuvR3+o%9Sh~zADv6CIwnc3$tJ?qn+$)y!os^_iW|E^
z%n$z3e5j|!_?%``ci;xdGVoVk$FG#@Z1Oa9>@VyE)&0V%(&au$H2F4=*{%Cg<o86!
z<Q0ABxpBZ~sQnhrhgMvjZ58AHY~;>Xnw#VbB4Gv#16Sidl>)b21{2*N;zRc``mxY2
z+RF8JrgB!$oS|H+4a#=KplX7=C!IU;9K)>TWC{C%pNCIF+Ftd_AFkzX9Nd&0p$t%B
zFB+Bc4%)~ej_;Y?l?b2Lzk7}kgcvIS4U^AqRZd?`9A8C2ZDnpYvA>GT2tEk0DacK4
zeMZ;JTE_j<N>^(#ws_23EmhmK7#am8-C^a_)_OmWgAuUXF!@P4)Xea`P`ChBEAHU#
zIvb-#q^b5`;UpjIW7}(~8WkPz_@M>(=33}L@^k#Oa;N%-{~_G7IMmB=a|LcJ0ND3g
z%j?l^)OlXRNI2TROIk8qsk~~)2NSg*g8g6C6Aq?QLiJ|5OAEf~eJwkeq5~ZfknoET
zk(snVk5}Vb$EMR)Z2BQ0d;Ssk#H=dn0f*d>{WG=!tF6wsZHgWj7DzQYMWe~SY>3k&
zH-BOc@Xmv^5056&Ft_+W)p`D+NO1$hQ?q-PWlzyT#cBz_P9Y{-+39C|F!S5pj{Q|e
z><n}-z>Gx{0kRx3w&tD<Dv%tIS^HUw1jAaf)R{%HA@Kd4o%onnHXF`B#W#@|oC5>y
zt^6wsQzwvii@{zjur;SvTAS_rVeX!6M^H;K*zkaQ7?!CeyQ<rVgaW1({I*uvcr9H4
zo#`rSGaBH7pS7cjlI<}`z-Y2NkX=W)eQL{gBxSq03ECsG@~^hi-E(nf`V8*&qsDfh
zT=Afm(u~4AlI!nqOh~U4^$_3aSHlt8*NaTp%89LWmN=vp7ZD1yK?#<p4V;xSAB31l
z$f<kxvpgkL8SK_QvdRBO+(+4!<jen_WWfduHWl>QXigvfu;hM>Danr7f~bRCRkhF0
z^2w$`Wz0!FWIB`uLv6Zh!}kJ5=4w(Wjy@Np8Jfs{N=vXEpPX~3D=Y$Wc}2R|exG+m
zC78}s601z9yjPF#5xL`?dflae%2_S%CgcLr|H%RI7Qa|2LB7wd+ITk3ALxsWVwUR&
zvjwz7hb=w-WhbdWz@?u!#l5xj{s?aDB0W3Mu5QQq>lrAz>-i}bv%KYiXE;iRmeD=_
zidDE%&;fwat~^j#H*G^zxc^$Vp81__VNtadmE3-c^76)JGXGBzI+ZaR$y}`f{01#8
zS{R_9FE>&_J`(q6)!8>z$GLOjfXbZITIii7xQaF}9p*LnY{4d|7Wc*Imtkgq(^qoF
z>&Z$x>lXLn4m;zOfjW}cn+)0d{LYgFx+LmRK8#zcft;C_CZyMU{j=+tZdL1!!+}+-
zyWJIPIcRDl4b(rt+!J{vZhhqRbC$sj-}+iX80Hn|N$N)?wp-r7EUox4Yj@=52CVS{
z%wHAEW>k6a;L?UN+<$K@9l}Or=Rb^Al=Zl>;2*Rk@07y67bg9u7fEPkD$Btb-S5CT
z6D5A6<cw<Ch}%q$v$c32^2Zj3dB+J#N{dZYv@5DbBRk`;8`#j2su4eC>CT$>$?b~g
zcN{`95BW!(9o?kUV!bu}cO#yubOel0+<>(FC{5k%pFa4AksQs?s^I&pPjKKF>yL4v
z8%wBUc|38(pzQe6Lb@7W@(D_Ocv}p3xVN%3zq`PW7T;eIu4%t9G!$lmmi?dRuJSFa
z?rVz($jAjEAkr$`-6bd>t#l1A)QF_OfOK~|baxKjEes(b4MPtg&5+6vL%s9-{)+d@
z`LM6E*Iw&7d!Mt{+V_2*84H(B@0bMP_9SYq;q~&s?BnesgVc$aP+#Ya;E`NL=zt2D
zpr2+W?a3RF${7ow1UHLhxl2`L%J`!UFoPIBB05=epHt+<*{}jX!TvO%Tbj5ep`wCp
z#n`>|g$a{q(r@q6F&?NH>@;ndIWqWKtNRKc)V0Hc8O{bC4kURRbxsWs{qeO0bc|_R
z0tL8P{<%|%8@T+nWNe#AbO1S=YTbkh+jt8k`L~!*>ZN`+8=_mQy>(o7)?gj-a#_??
zp|Amlr!GG}qCIwB6BJyK%`!Ruh6nwV#1+3zWA-_u{Ky3X7;+<j1~yq^5w!YgZXe>r
z1Sgg|uLMbd_8u-Cu%gSls1Oo6L0rnP3pg~b!~cpqw~ap@yCh#4Q~_y^4T<Pi?__dP
zF?`{<e*Vh6Oih}bPs#^ey`8r325W=#;Kvx7^^xb_S2D;BZz<hBK0WqJC#<h21GbT@
z8NumV@kD!ezG1m<{HbOx)$N~s=mxQ{%lN^)<YyO6d{wENuD%<hj}GxMoyXs5dT`x+
z7CK&YO@rhQZ);a(q6RB6-ot7rEntSFexSbLDG@1bF%1{_B$gOjyIB7>`BWgXz}f_z
z?P;G`mZ1FhdR6E?g%q{03vSZS$I%@!oZMw?JAVCA2ZB5DOlpO(2N{NDa*+SVl%enc
z@S}0kd(--mBfYu{`n?99EZ4VRLeD(ylj%n@k}taWzSU@S1o+2!hBX{cY8+#U%Vm?X
zu*Ns-GeXP?4$lX8&6|x>moA{JwdIQp15&3+!cvysJn@Tg@}V=`OKfMrY%Dp$DOb<T
zWG(|))wBIRs9qKb7KcHtfGo+<bsd*To3UPYF-jBD_BJa<50=v5_79o$U_t7gMu>sl
zAX1lo%{>9#EK?-=8L|C&u|XYQ*}^61%cCU0wdKWZ4%Bqn;bM%uOXoYC=BCehXMPnh
z)xvtPD{@4nek?LlRQQgwyi;@enf*i!espX)U1*FcN%+LCi|%@r>NV;Xqi%qIkUC#&
zo)hbb=G<(teU5c2!&C+92^+Vh0*t~ft&A~Ii|D_;uLnoDQ(jCy$MxMtC5?j~;hUP7
zc3i&B7n+XD`KD1L8d{SR-<UoNG<^40uItJE6@e>wk8@;aMe}@I8(y1Uo_0QJ5m%{B
zan)m95$X5mjuhWN`ibwKJnIC!oKiRr(}0WpM`yoBu*|rZiUh{^J&!Lo!&Rw(y@QUl
z&(W=o=3*cOGdB2Fbk=DqFSHQqB&OWjhtC759`6-98UVq3otRkUs}DSUA&~Q#nU@Oy
zUQEASQ2<ImDK6J)kQ~d3Jyj4)CCJ~Oq^QLkB6rnw!!tGx*<;B+Wtt^y;E5c`8Q4qn
zEDz5MSyo|b#ufNp5~(@X=zw=};I<)zTTj^?ylS4OrzG(kQ#wqN;g&E_SUr8+3|c;=
zd)?2@hzW}8BYA;p4YJt$@T=yX=a<%m({WJg?{->_jtD@l1$Su+h1DC=-v@0LtB<4T
zUDd5sf=uexXFF_sZ+0=}TXgs}I7RPG%pD{{#AIthbl!IM1}$d-pG*Q9x{p4lUo>lG
zKvG<6BptSyqH+~P!04wMIzNLGpRhWn!ZJ_0MU{nH0ysVJj7K2yvY5zJv%twcGJ?d%
zG?I$@1@LCnd(K^gw}`@ERm7QhubG!>_8W_?6bYimI+n#uNlRkGn7Cw;n$RSO&MSA0
zSa-0HP_(Hq@v6L_R4DRV@uS3dpm@L3omGh<e0&co^qoj6bw4G%4)|(?ft|5d!~J8F
zY6Sq;8!lT*0}K=xwAK8+TRW42;wttwRfJu#PJ9Y&*_2mF5}WbVKZh_Yg`$v`gtVT+
zKTVfCx2&59U%h-5Mg(B~KHvk5Y|(Sv{#6T)POHx{9u_pH&nspiZmYZBz}7?!Wb1r;
zE_6<!b8KSe9MkNrlW-P@R+-`@hYRHCT!&Y^?+ps#1$-vdSt4HO3zzcDQ&q0uNd?zf
zG}YjZ?u<Z{z?`D-GvF>4OEvs`1KT6jCdU?{1J0_WEXP_4%b3=US}n>zq7g5RBRzMK
z-Jf0qgRjmA^Hub5t<z7qGpBv3J&0iqwV6nE;oO5llYUlcg-%+7+U1VENAZr^OIU*&
zjm(xw@1JSI+sK6Lm;I7oc2xCKdOd4R%fT_N2p}CQ84zA!E=z`}^w|u%`Wic8kc-mg
z@CBf#ut3#)_YKjcC}Zb(UA=+eYx_`2O<x|Du93UM5PcRx396`;3jyntZRT`dQy@MV
zF5x|MT`>p<s)fE&fPvF)EArg`b!=VNjw9PC9QGKcQgs0+;YJa~yX_bQux@N?2%SX;
znN1=D(kPO{fYR;d;mWBrU!7-O>XK2-RnNW1+LF+#)0s}_Q<1}i=}Qh|<xEIvXHlZ&
ze)1gZnsjG3mLLWNXF<-YNXWIS=m$y%0T6CnZ6g`I;xn_)1tDOT`He{HBqDFIs|$r5
zim%hthBcK<XHwe|oNL004oyb6?tj(#{T5-*ND9bSW6u-EHL3;mno}d!zWS0H$C>?g
znaL>h)4M<?n}74#j!IijS;q^_eim|E!*N2B-}f?ck7!%MlKENfX>^{4d^s%ju9Y(g
zVegs4jIxH`vn}9T*CX@%u=DvBisZ=|r|@FkU5E>pS}?}*8g5_sxt<!zm>g=Q+s@pa
z(D5s6-}8X4EGh8H^b1v`PTv;bV3rL$>a|~@L`Z5zQ7)G~-+x_Cyr7yRmz;cI#8ZTv
zc?JG0L6dyM^P2T=PRw7$fO7Y@*L64l3lV4G>RbW6esL6E*~yT~?PBrQJ;jQe%uN{9
zTV6<b*9Ao_^Y`&Ah*a;uN`29fu|J`<^!CCQbjH$%Z_$<3&oncpJhKgIzV<e?a*gv^
zTShFEkGjr-oE!d)h$xT58|7z(jm>^rH30u}L_5h*1PL1#$jKUG8dQO}ZQ~0a{8AlZ
zl3wq-pw4J1FB);hGCb7j8HI^>lBIfT7DX4jldx$9v=^3*GIH=h`$>O&_h5i4oQO)3
zuYw+(jXei)K*ptuu#Bv9jLSHn&DY7vD;Sg0Tup*n$n!NJS+KLSlAi9w7B;)qq8tp}
zETp%JIa{lGBUix(e-K#k<nh;9A4?r4l001LJX2W1)Z&fwh210;b##tBhcp25epTSj
zAjM)YhLHzib}5Z<2ZIu{_$n*O%(k3c6i(Ii(==~E=(#vZn&r6r-xcl5&$fj%C$m4-
z)s&osGifx~#zdzMSm(c;APqG*(cWY9ZwRhym{DAZIoZW`>NWYiV2LSHO$5kRmes6w
zSTZyFUxFmvbX^^4M8aE&L3-z|@4Uhb?4j{0<%hb1;m~xatLGkxF?X>Z{b-PMVK)}I
z+5L?^WPRJp?CU0+{g)@*uDVCXSC^NjT4bH!Cx3ZxaUse^mThq?IgknS;tU7x*gAe?
z|0+?`VVB3U^N$dyYlOBdf{JF|3TH_CXT}-**9osdjAX(s7IuQ)j=Ziw-StjZqPu?#
z%(+Bm(IB*S^rFi0Eq$iOdVl`g!IDR4&(Y5y-x0_C>>Q;9WdIbmoGNx`dM@KRkGUHi
z?ZCf$d>{!*0iXyuIXoL%Iy7VlSEL(wo$NXtoc~I2G1<Vq#^*3HhYR6qlAEJ`g>Abg
zyMzsP2AT$+2@7L+Zj@Lo*TPeS2glQEC0t_>wK-r&_gV&_PEw0p_QmVb2ET^wx!Rnn
zdv~qy)sR82p5?2WErS!nhOhs#P|(F>c1*>x9Bgj`H;6PR4pZO#IQcldPzVOD?$gEJ
z6dE;Hb2^CwexF8}AVDtxAfdgJ1`GPpeDNM_T$g&kC|+5rl5<!c$=cRo^v2=deOflg
z%YJ3~r*9elmKAVZi;ijkOoIE1NBMkbH$XD@pL3h0v3^^BDwIQ96;jp*UOj(Ky)Vk+
zMPnkuOZptoOrv6pYc5cNSOFGs@>W$rzG0F2{d0Hm@}<My$q>d$*gjMj)xl%MlJ22U
z@+rGv&0pBCxHOKL6*an?_Ekl7>gqn)7C}NaDBx@Ux~mU*Tyz;Ui*^$WWG^%5bW;HQ
z=xb*Gakp5K2t|La4v*Tu$;l5;d#^h6c!{IF#IxI}`RBEUS5I<7<K-NA@p2>wLV4$F
z(4yhg+iWKZal?2OYtGyF$D1qEYfRjAQJq#x??fc`UBN)}gtpH3TE;DEMu8U^TCTfv
zN{$Fhool(DY6?@2@smIB=WS%f6@MaF@BvM_lSjX0ENKGys)WD17m!w%F5#LqqSn&R
zxwhAoHr!WxTy{PnQm*W@LC&_^#+;are!ik8grBj~5THY?Zpf$3|6UW<9K}16a->P<
z|2|#b))2)Pwf}dDLG$Fz4=0W{uEvg!lutI4c%r;r<^v|qLsIu0l9NVjJ#oAbs@Ygk
zs**$u#_}(eB%aQ<Q9fUz-WM@_)>++?kTjH-r;wQ3<l;2FkW^yN*7ZK|qkq0XPnuE+
z71Q7LiiQZtw=XrB^AaVYKn;Yb$A+=Wv)UJxv_=?3>ZcEF_XV#+f-EFW;4RJg^?`*=
zdxSqp@VXs%3|q)m<SKl2oYQTAt2d!(=9CO1;O-6Wv3D8>#<pWu2wfCf2_b&okNF$D
zHvQeXU<%e{MHeN5hsCp@aAqNJqxx!gDFtE|U-$H?qX9Mk?<~c+kTJbUs3tcn>T~(k
zm7u^7Hhb~^VX_;-alE5y^`0bsNSMrZ7^C$SI`U%w-JT>T9m@g5TWxWMOrM0aWT8!C
z{)nB_VKp)2Y{{EAQZN_|Xokea@66*&jAV^9SX^dka-<uIQdC^yeN%Z*BT`K#f!X?u
z(3*GM_vw049?5%+TNKxHR2AFe^XvN#n2tbdwzY<a<*LCz_p^Ips)pPp$$Y}0oUhN!
zEb9uLv*15{Dcm`kYLBG)<z&ii#uaQ3>0ycN<RpzDb3tRDXY8ZJ!tQapXkgVnPsA(|
zS3HbM0CQG`+%`${{OnzG_4e9@W>$4V>^8*iX`ZZhG!bzEvKsC97p6JV6JZxN8FJ<{
zF9rE&FJC|Z*+`)VxHYPye-%dP3F4!Lyn0I`lKH3SAE8Tqx7ITg)%RW6wP&ww;y})}
zFm(VlCK1KU)hG<r;GYmGK`y=diF=i3Rd6oV7L3STirB~))n25Y*|%1mSok<={9vKK
z)3-yePd?sIqxODwN9UO^-w}W8#`Tv)PDCtw1MnP2)0nHVoP-e0c@q<q1!JgQ=Vk~v
zFqWT?VxTa6iW~_4eDoR7#{G=rds%3S1K#taZabJ^i%@tLe;S_nI@RQ#H=<9TvDgZT
z8_G(pK%>wa?(<1C7J5n-ARW|V-73!ylq%vVbn{)a@vCJ^e6KNye_X$TuVQlIyLT+h
zHn;gQ5(&MreN8xAnVk@39Iz=`j!(1i9^4b%bUJM43MWHxP?d6pkf1e_2FEbBp9Ygj
znfq6h;lG8(iz!6prd4+*b(DFN-{xc$FL~hh0e<P(^nLyG2MlQ8{9*LRa$O_XE8I{B
zZu9D;E$7OP*c_4C=S(B>>Bivr&v)sO5It_){2tjxi#S!6@2U>NmKZHJk;uq2$-?Wl
z!a%G0w$QJJmnWCu4E#gP;<ugouSvq;=h3j#dCDd|mVj1}v>bDB)Qh2ZCbc07%V-EF
zctcN`@P-Q@`}~EF77u+MVYRkJ(${UTl~^Qi5wY?6J{bLD9o)V<g{#0%Z_Qr-RWuMc
z`Lm!=#WY_ILT#&pna{(WPp)2rBWa7!DL+k}x3guiIYT$E`Sv@m+WS8tTmJC&cQs2E
z(wYCf`V&qYHbkcM%2x_qBbi|Q#=#nyw;xu2_Klc|DGcFM+24%X4*`I`)w3sG>1iPz
zSRo4*Kzr5zAS`6=*lKVDI1#7`gYV0ViM?0_`7RUhFaI_vLUzI=iWM~wrCNpeJ=}<f
z4nKYtdyU1Wnhq=RHL|w|;8?&iO)BaNV5=tM^5no`1L~CKV5wZNznMg`7VtbW<`MGa
zX`FGr#>HiT5B%zLR1A^k$6yc^oWF^=S{|;=QNjb%=-<@~I#KVEyq6%lmAGzX^8|!A
zU%LRr0zlJli;u)`5w`3#N@<+G<$9+0;8Ac+1pm~Q=joe>I4!GRXehvC1U+nWaO!WY
ze%rhFspw3h;VMrS<Q;P7Lib+#ms$9Q{%eG-ijMY2hc~;X^luTvX85H>fuyghm8Vxl
z>Ry|(&%c?rEu@RF+-Fm8G@!ISinsMsDtq`(j|KP6&Ytq>ANXEc`JuLZ)p+f>xb}h#
z(15Mx<oYh!JlU6aW{~Sml-nynCL5O_!RgZ*!(9=YRxMtknP>Th_FEE{sraa=sW3>d
z;!P5l#obNK{<*P#=E(P~n>$a|u(f+P)CaJ{iQ3SnTG>R4A*BfR)WK*W2|5Y3Z!0AC
znM*~+IX`k;zYTS8l^KS#!r-W9G}TkpfPTRg53X&A+vU<E4v7&%S^iuzaY$MOdc5cQ
zc7I;>MW6qUKL&oCJDz*3+VddvAWDCcn}bRGPCuO(fqp|Qjbr7OaO1z}_kdUW;QN4f
z5<8kW`{#!|IX{!FyD#M>z7;_&(ph{M<5LbFNZfydiZKy8#19<y2^KLwt-JlQ{VO6k
zE||n9$?n}6f9WUBQv%y}(pnot2=0v}z#5-~N+PAfFE<rA4FoGrsM#9kyqN3>+)Ol>
z@c!ZAe7cRn-#fz%|1#SQ>hwN~enl-TJ8w;?(@YeanOW-8+xm~($NO5OO-aj2kf_`D
zMAkQR{j^B1_aWjIkRE%j`=n0<#Z}h;qJ3F#jJjB54`h)u+_t*oemp5WH@>!R^Sn%R
z%_+xu-FvbpUCr@#WE9V-d;kGXoMsA)Z0R7HI!*L0^+faI2(Cno1mS(x6V0n&Hu7|V
zt4qyCt~plWXe(&ynflSb#j8$_@h^)F1{6hV*sV#T32XbR$aB2z!1CsY7bpi^U8kpW
zB5W)OAi86*q~?f~77wvw1}PxM5B%44=L^S-dZ0_B^L4P6pOZ+!qU+ngvQ2eQN1&6+
zc0u$S-osDM{K>*69AuyR{4CE1Hh=yk4uBw-6a#u>Lgpe*2MCzI5I|4XaCLqC`o2B=
zn{0Bz_{NXNu+(wmlO`#k<FT#|fgvI|kC>?y?i4g4yUd1N1#5x;n`NQ7o`%Id=}dIb
zW$Zo7VO*!7Mn+?HF^2epbd(RXwj6)8l!KnT_aFmf1aV2(SgdFCfe?Y4$_oJGUHNko
zQX(sO&D-bhhLrBZ+n*whKpz+gz^Z@GXrNHE>67(_n@cMHm6NOQK94dcNE#M{ReMf7
zM7({A4M<3?B5TBcGENQatAvwDNp=1$B$@bJM38g55m*or3PcF9kDpX5I3^$=(@iBq
zRAs6};)Z7O)QMNdbdhfi4Jt^2`?!LDd`Bh}E8clLCMO-5;#eg~f8&kgo+C2>pNF6A
zlQ)M2gU@|ftXeH%L8(wQ0aZjCFZ@B~5o3j`Wth@0#e3x86z8<{wpEvh5$qZFUMb>*
zU`a^(y4~f6N8*J-0u6reJf?<bY0jJJ=GpxokTQb4*ObKu;ZsAnm4Zj;$fMB{o6FDD
zf_0S10(J8Rn778(S)}!SEpJ&-J*})c^gVPj5+$xjS5Lc;7j4Le+{1plOBq^&T!$J>
zdow@L4oz4CC9t3C?G~Zn3r~e+K8D?-PZ|jEVgIFe*(r1`Ej+(^Q-2~aH>KJYfliUx
z-w4P@X?C9x<hEnN->#wBand}Eva-~c4*Js!{I6_-WzZK4mh$OFqiUp7cJALFdI?n;
z+kBE%^{#$nhPo)o-n_L4KGV@I(r4zFXjA$DMSqdyd#X2w_IF-bp17aLS$5A|KJLQA
z@RFuFdS4YioIR9vW8e?UtXJPI4UaZv9<FCF`)d!U-aIY`XEU<i_hi#(=SNi1m2fs~
z-@VK4vbLKalAfmS8geyA{+3Yf@mC0PNa`c$NW{#0#XvD_t{Fpj!^4=X<e+=68f=O2
z!TDiNTHn|AZvVoorbgC80^wK8=tfV^cWie8J`X0ommAtc`!$Cj<wh*In)OOdZ~QJ?
ze&0?{eA{UHEtG90w?cSh{=YFl`p4Es)Nit;f=&>fiX%9MH4Gw&@m`oz#6>ibypn!q
z>Y8<csRqKI+wkF^<v=?I9%MoQksjw-2iDz31g}F4h9W6YJYYH{7HQqp+UlN*S)}tY
zCSG=yw?NJ8#J_n;7h7WcK#G#~(>;&1g!QbIczv60^|liEg0yWi5;ZNV>x?;Wr|kM|
z+y#ELP4q)$4D%0n^6q{8YF7}~$rN~^nAo|=f=+4a7-g9m2Q%>R?_H+%m5}v%-$$9N
z-x<G0PExmO>{FL8MZ!69KE&9Aub`-w^U*&J8<ymV#DypSkIL!b<-%{fsZ|KkU+w_l
zjGs8}QbiYDy5Yk&^km0$4gJ#wPGHX*(42(y7FSjewiyvD=5PAVY5;@E<-AiO$<^0C
zX4F7-8y(4Fen7U$%-Tqf7(SkE9sv3>!5GT3dqo&(^h2xEghl!)e_Nb;7L#xylQ({6
zd4bbPSqi&h4G$~oSe2)DG-njaWnosl;X&5rHhaRdR2$s|upZc98pXc$9!8066UF;`
zL|BB{m68vx9WJ^EG=4NyJj3qW#fQ-a-(?$@=b{~H&!+)5*;evhUj@cbFfR3uFBNQM
zuIZ7B4lcHXag1P()L2t3UEUu_XfWXN)|D!!*?;o#o16Ld?&jjrnk7BET>q6?jysRP
zJtds<FxZ>iqsQOVR@84-H=k$UOB<>^kF==qr@X7x{}oqLc<&5}_^X>#d9!PMTeZ;R
zu2n6F%v`I<{xxI}j$3Hy)7B*Iw7-9U?5S}gPZw1sS3wjf*ioD1;(Jag=HR(Cud?uP
z&r63Iy)ve%sgEJ95*!bOeEKWXJ%c5}rfw@u*fzJ8wVwPM#;g=hUihtk(VxG)N%rtB
z2CjA-ai(^+=Ikt<Uv^gkfu6`Qia)DnEj6C7jV4iB@0=Z^iS21_+u!PA(uaBVn`7cq
z)?W)ZXjFBT=lM+L`le&@8TQe#-RwbgFa3H)?xRyJsHP*p5$E`Squ!XAVrR6HDq_s;
zgw)&%IeA_khJ3#)c(OlwihpRjh;;t0skXM3|K8-G+ewzkvZ-rL-vc>UxZ_#UW<i%O
z9k8-SUFVqbYXgVySm@uN_tltS_hka`hJL7EVo!>>T|~h!wJ<$XD-WC0-?6fyf+C*$
zcq&@$fwRBlqD~M_c)x~R4ZT=)eN=FLgCPc-QTWDN*jBrH0QT?AP0iB8e70Z92o%Z$
zp8pDLIR13_?DEfu&#78?nxYz}^QY^R+$m3qpl%knd76=;avWtt{{rVTs|-y|ASNpQ
z8NtS|oAcHFa2wTz>-SYib<T6tj;P=1$!AzcX661ImcjPN(JBaC${7{^J1l7tZ##ft
zmDP<TDt5)WoNcp`RKW8c024E=-Ta>1ifnq1Z@SS<J7LEB4kyOFik0BweF<+*$9m1p
z?mkxXN>*Q+mW8d*fP`{hGop`V#Tnt5`t#fF{th+WpK`lDukRi@?2uCGo`d>`ncT|K
zXj#pLN5Yt`-Ti;<pu6*%s4N(Ck_CiBNlODaGp(m4Dv$T}c>@mJJ1lAGHcq~T@J7s`
z9-Ct52fW(v|IK#v<~q)|4}vg5f;Y=Yf3P3#CNIsMxnKLH8>|+0`7uLD8#4pK3Xw8}
z|1?@uZE4#4{<Mw`d)2Dz4X-If-ze<9yYl!GYdZ61bQt41?Birs4Z1Vwz$RV~K1mWn
zE_X~F!CA01l~{}=+zamIh-Cxk80(5qRoT7MX!Daz{@*R$30W`#twI@xi!ZhY6IJ+3
zsVJ-{QIlIb)iC?K6RTEu7+QdI?8wNaK8{jygchrWwOR8!h8lq<p$qp)kJxeN7B}>G
z@`#IH89Tyla(ZGGmWl}x2%i@)E^E^>6@JZ%iu+w8D<uTm4K*vj#x4wXxK}y(?54$!
zdYP2}xgZ&y1*5^b@SkE8)`NRH?3E`oMo;*4smTMYC~B<vfpswuTTOClL)Id(F#ujw
z&*p=qTT*xg8O67;p`{beZW{qmk2Mn%t8=X`6QJmgj|ZndKh%LY@}tA;yut^CVQA=~
zs7pN(yXg;6{)=tJ#Cw;&XPjp)_3}T%+HP1?8fvz_v%j6ELAX{1QXv)i;bFV=emm}k
z>Wa*WfGn4;e!v$V-Aw8)1~uy1^Y{PhsmH%_;J^xEi(tp0!Ro0?KW-`y2tzLkL5`dn
zL0uP5XG<PaBkX2on|h|O&5WNi0soIW`)X=?mz3BNXB#Y-;*;BN$vvcipxgrY2}eU~
zVn?8VdQVt?n<fxlIx8yEAY?^L7PW-bZP^#%=A9O)sEwyy75aZ(7)dci6;6p;PFNqN
z$mbVNw%OwiJClHu8bNp3mR{V@xHj(7G(a64qNQQ=0O$6vH?L*O6>?s?N+BNKKYmM=
zk$AK<ISj4YWY1}07eGt=*UDFNSqRqf>GR0zjoX^3+WT}gB8kD+nQpK?PsteopCear
zJsaTnQ3yP2`8N18FTg--&z9V_BJ{VQvq_<p`&N6`u*hT{b0UwX1VF%LPgFo)f7i&5
z7h9><8@0w6AYqr+Nn;0CUVUuj`n{86J1rjF7NLS?*H?ih&CAxUH<3r%kratPPkKih
zVa(kLnfrpn@LJ`)euFh;ea(`37zov&w_)RY7k)~IM}pm$w$uY(6A*cgrEGiKjGEK`
zZKnJ+q$qEVcas5eYu&>sWGAlv$T8Mf+}0}6m}LzTDShfj)5g(U)l?q?o2Z5g!TcSk
z%ctM=D?`u3d-E+${b_d+7ESUm3qYJ!E%3IT4E&<TVck6T>{Yr<N9)mv5T<Fubu8e*
zRp73P4`~71gmnO<bzdgwZCV<~8tjHH$|%s04aj)_1Y%({h>2?ai`9f@*7*un+yt>d
zIo~Fd(aXK!ALC*sq99n8F#lcn@%EG+A-Bb`T--g*e3gMNHX6@;K`v8APsf5t9dHpt
zRe~ogXim=)uUV%(GM>-9W1P4A_|yS!-LZ~7pYCz)Q{KIWMD@wtdf=OMM^bRUrF{Gq
z*Zg&8fqg2Qmq?2PPX~Fog2><mEORud_2o9KSFs=Gvc<qGJ4&b`3@tsjRC`~ig_u#Y
zVp_40wt&DT$Svq!hP37<R%;jylP`7dw=x*64U5PpDi$@jFwdt_`B|+7hH2mt2DX8`
zKcW;#(gCPUZ2+n+z79K$bQ^N+0>iqi;9Ls(D%H3SfTHlLD)#n(LN#Sw#1(D;>&n!8
zOT#wUgnHKz#W!_34VEO@{&=09$V_0H8g-=@zL@nD`x1(;3e;pJl4%WQc4pVm|9+Op
zM77FD7p8jrRJY`n7%j(?M;z=r5`ARvS;R);D7`BU-|C}o<5F#$?gyPjT6|a{%-vj~
z&vXg>iqa{B_cuZq=Vf(?_Hid!VyZl~|HP}s$m}{2<|FF&9}$Ap9>})&7+$#7h8gFg
zu{J?0b<!=?AuAf=I4zWUNVK$rZCL53K{Eg^J2U8Qn<I$t5k=%OEl6uiWavv?r}*3+
z>YGIs=+1S_+_VI*l5zN(Y`vAUH{(^TkG6gNE~z<|>9I+w=16vKI~lde@;9`1>X(i(
zh|@S@uP*V;7?F7G<P6u3iO0B9f0fzjuhhtX?TlM?zMf*D(9bE0PkY%?^RLfdL!n*Q
zZE=veVYMBAT5hVlKfa++MY8mj276o9nVT8qjOsO;a9@Jb)`&NTa2WuUn8cgD3Q_w-
z8riHRZ+&6eg<8KKk6<j#8uh2T6z!m{ii`<2U<}Qd4|Qj;6G_JEFGOLvHt(SVJ)e&>
p|Iv@|K;T}B!bp>v3hFEWZapQ1*+F*fuVfxQQdZFTP%UpB^nbA{)C~Xt

diff --git a/Shorewall-docs2/images/State_Diagram.vdx b/Shorewall-docs2/images/State_Diagram.vdx
index 895ac4c95..3b689fe85 100755
--- a/Shorewall-docs2/images/State_Diagram.vdx
+++ b/Shorewall-docs2/images/State_Diagram.vdx
@@ -1,5 +1,5 @@
 <?xml version='1.0' encoding='utf-8' ?>
-<?integrity app='Visio' version='10.0' buildnum='525' metric='0' key='0D2197D8298B3168040DBBC52945C3068DA1A25B84F9E790B28868B4ECFDC8E23003668C813F9498D109D6504BF5CF555C5D925A9338FC6CBD21C1472597228E' keystart='261'  ?>
+<?integrity app='Visio' version='10.0' buildnum='525' metric='0' key='11428CA25D958138773465F00D21C09B963EC22F9FF2F3B498AE425DE593716A274D575B68965B9EBE091C253AC844BD3575A2687FB1BE09B3D91548E155682C' keystart='261'  ?>
 
 <VisioDocument xmlns='urn:schemas-microsoft-com:office:visio'>
 <DocumentProperties>
@@ -10,8 +10,8 @@
 <BuildNumberCreated>671351309</BuildNumberCreated>
 <BuildNumberEdited>671351309</BuildNumberEdited>
 <PreviewPicture Size='181740'>
-AQAAAIwAAAAAAAAAAAAAANcAAAAXAQAAAAAAAAAAAAD/FAAAixkAACBFTUYAAAEA7MUCAAMAAAABA
-AAADwAAAGwAAAAAAAAAAAUAAAAEAABAAQAA8AAAAAAAAAAAAAAAAAAAAADiBACAqQMAVgBJAFMASQ
+AQAAAIwAAAAAAAAAAAAAANcAAAAXAQAAAAAAAAAAAAA/GgAADyIAACBFTUYAAAEA7MUCAAMAAAABA
+AAADwAAAGwAAAAAAAAAAAQAAAADAABAAQAA8AAAAAAAAAAAAAAAAAAAAADiBACAqQMAVgBJAFMASQ
 BPAAAARAByAGEAdwBpAG4AZwAAAAAAAABMAAAATMUCAAAAAAAAAAAA1wAAABcBAAAAAAAAAAAAANg
 AAAAYAQAAIADMAAAAAAAAAAAAAACAPwAAAAAAAAAAAACAPwAAAAAAAAAA////AAAAAABkAAAAKAAA
 AIwAAADAxAIAKAAAANgAAAAYAQAAAQAYAAAAAADAxAIAAAAAAAAAAAAAAAAAAAAAAP///////////
@@ -1365,9 +1365,9 @@ dHR0dHR0dHR0dHR0dHR0dHR0dHR0dHR0dHR0dHR0dHR0f////////////f39ygoKN/f3/////////
 pqatXV1WpqatXV1WpqatXV1WpqatXV1WpqatXV1WpqatXV1WpqatXV1WpqatXV1dXV1dXV1dXV1dX
 V1dXV1dXV1dXV1dXV1dXV1dXV1dXV1dXV1dXV1dXV1dXV1f///////////2hoaJeXl///////////
 /////////////////////////////////////////////5eXl2hoaP///////////////////////
-////////////////////////////zg4OMfHx/////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+////////////////////////////zg4OMfHx////////////2BgYP///////////////////5+fn/
+///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wA
+AAP///wAAAP///wAAAP//////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -1376,9 +1376,9 @@ V1dXV1dXV1dXV1dXV1dXV1dXV1dXV1dXV1dXV1dXV1dXV1f///////////2hoaJeXl///////////
 Nra2gAAANra2gAAANra2gAAANra2gAAANra2gAAANra2gAAANra2gAAANra2gAAANra2gAAANra2g
 AAANra2tra2tra2tra2tra2tra2tra2tra2tra2tra2tra2tra2tra2tra2tra2v///////////xA
 QEO/v7/////////////////////////////////////////////////////////f39xAQEPf39///
-/////////////////////////////////////////////9fX1ygoKP///////////////9fX1////
-////////////////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v/
-///7+/v////7+/v////7+/v////7+/v////7+/v//////////////////////////////////////
+/////////////////////////////////////////////9fX1ygoKP///////////////2BgYP///
+////////////////wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP
+///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP/////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -1388,8 +1388,8 @@ QEO/v7/////////////////////////////////////////////////////////f39xAQEPf39///
 97e3m9vb97e3m9vb97e3t7e3t7e3t7e3t7e3t7e3t7e3t7e3t7e3t7e3t7e3t7e3t7e3t7e3t7e3t
 7e3v///////9fX1ygoKP/////////////////////////////////////////////////////////
 //////1BQUK+vr////////////////////////////////////////////////////ygoKNfX1///
-/////2BgYP///////////////////5+fn////wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///
-wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP////////////////////////
+/////9fX1////////////////////+fn5////7+/v////7+/v////7+/v////7+/v////7+/v////
+7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v/////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -1399,8 +1399,8 @@ wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP////////////////////////
 4uLi4uLi4uLi4uLi4uLi4uLi4uLi4uLi4uLi4uLi4uLi4uLi4uLi4uLi4uLi4uLi4uLi4uLi4uLi4
 uLi4uLi4uLi4uLi4uLi4v///////6enp1hYWP////////////////////////////////////////
 ///////////////////////2hoaJeXl//////////////////////////////////////////////
-//////1hYWKenp////////////2BgYP///////////////////wAAAP///wAAAP///wAAAP///wAA
-AP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///
+//////1hYWKenp////////////////////////////////////39/f////39/f////39/f////39/
+f////8/Pz////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -1410,8 +1410,8 @@ S0tLS0tLS0tLS0tLS0tHBwcHBwcLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS
 0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0
 tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tP///////4eHh3h4eP///////////////////////
 ////////////////////////////////////////39/f39/f/////////////////////////////
-///////////////////////3BwcI+Pj//////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+///////////////////////3BwcI+Pj////////////////////////////////5+fn////wAAAP/
+//wAAAP///wAAAP///wAAAP//////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ///////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -1422,8 +1422,8 @@ tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tP///////4eHh3h4eP///////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ///////////////////////////////////////////////7e3t0hISP/////////////////////
 //////////////////////////////////////////2BgYJ+fn///////////////////////////
-/////////////////////////0hISLe3t////////////4eHh////////////////////0BAQP///
-0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///7e3t/////////////////
+/////////////////////////0hISLe3t////////////////////////////////////39/f////
+39/f////39/f////39/f////8/Pz/////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -1433,10 +1433,10 @@ tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tP///////4eHh3h4eP///////////////////////
 /39/f////39/f////39/f////39/f////39/f////39/f////39/f////39/f////39/f////39/f
 ////////////////////////////////////////////////////////////////+/v7xAQEP////
 ///////////////////////////////////////////////////////////zAwMM/Pz//////////
-//////////////////////////////////////////xAQEO/v7////////2BgYP//////////////
-/////5+fn////wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+//////////////////////////////////////////xAQEO/v7////////9fX1///////////////
+/////+fn5////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////
+7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v/
+///7+/v////7+/v////7+/v////7+/v////7+/v////7+/v//////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -1445,9 +1445,9 @@ AAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP//
 /wAAAP///wAAAP///9/f3////////////////////////////////////////////////////////
 ////////yAgIN/f3////////////////////////////////////////////////////////+fn5x
 gYGP///////////////////////////////////////////////////5+fn2BgYP/////////////
-//9fX1////////////////////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/
-v////7+/v////+fn5////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+//2BgYP///////////////////wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAA
+AP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///
+wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///2BgYP////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -1456,10 +1456,10 @@ v////7+/v////+fn5////////////////////////////////////////////////////////////
 AAP///wAAAP///wAAAP///wAAAP///wAAAP//////////////////////////////////////////
 /////////////////////////6enp1hYWP///////////////////////////////////////////
 ////////////1hYWKenp////////////////////////////////////////////////+fn5ygoKO
-/v7//////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+/v7////////////2BgYP///////////////////5+fn////wAAAP///wAAAP///wAAAP///wAAAP/
+//wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAA
+AP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///
+wAAAP////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -1686,8 +1686,8 @@ MM/Pz////////////////////////////////////////////////////9/f3yAgIP///////////
 ///////////////
 /////////////////////////////////////////////////////////////////////////////
 ////////////////////6+vr1BQUP////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+///////////////0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP/
+//0BAQP///0BAQP///0BAQP///0BAQP//////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -1697,8 +1697,8 @@ MM/Pz////////////////////////////////////////////////////9/f3yAgIP///////////
 AQEO/v7////////////////////////////////////////////////////9/f3yAgIP/////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////2hoaJeXl////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+////////////////////////////wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///w
+AAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP/////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -1708,9 +1708,9 @@ AQEO/v7////////////////////////////////////////////////////9/f3yAgIP/////////
 ////////////+/v7xAQEP////////////////////////////////////////////////////////
 ///wAAAP/////////////////////////////////////////////////////////////////////
 ///////////////////////////////////////////////////////////f39zAwMNfX1///////
-/////////////////////////////////////////////////wAAAP///wAAAP///wAAAP///wAAA
-P///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///w
-AAAP///wAAAP///wAAAP///9/f3//////////////////////////////////////////////////
+/////////////////////////////////////////////////39/f////39/f////39/f////39/f
+////39/f////39/f////39/f////39/f////39/f////39/f////39/f////39/f/////////////
+/////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -1719,10 +1719,10 @@ AAAP///wAAAP///wAAAP///9/f3//////////////////////////////////////////////////
 /////////////////////////////9fX1ygoKP///////////////////////////////////////
 ////////////////////wAAAP////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-//9fX1zAwMPf39////////////////////////////////////////////////wAAAP///wAAAP//
-/wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAA
-P///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+//9fX1zAwMPf39////////////////////////////////////////////////7+/v////7+/v///
+/7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v
+////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7
++/v////7+/v////7+/v////7+/v//////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ////////////////////////////////////////////////////////7e3t0hISP////////////
@@ -1731,9 +1731,9 @@ P///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP////////////////////////////////////
 /////////////////////////////////////yAgIN/f3////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ///////////////////////4+Pj3BwcP/////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+//////wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP//
+/wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAA
+P///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///9/f3/////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////9/f3zAwM
@@ -1742,10 +1742,10 @@ O/v7///////////
 ////////////////////////////////////////////////5+fn2BgYP////////////////////
 ///////////////////////////////////////zg4OMfHx//////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////0hISLe3t////////////////////1hYWP///////////////
-////0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///+
-fn5//////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+/////////////////////////////0hISLe3t////////////////////////////////////////
+////0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0
+BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP/
+//0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP//////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ////////////////////////////////////////////////////////////////////f39zg4OM/
@@ -1753,9 +1753,9 @@ Pz///////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////3h4eIeHh////
 ////////////////////////////////////////////////////////2hoaJeXl/////////////
 /////////////////////////////////////////////////////////////////////////////
-//////////////////////////////////////////////+fn5zAwMOfn5////////////5+fn///
-/////////////////////////wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAA
-P///wAAAP///wAAAP////////////////////////////////////////////////////////////
+//////////////////////////////////////////////+fn5zAwMOfn5///////////////////
+/////////////////////////////////////////////////////////////////////////////
+/////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -1765,8 +1765,8 @@ P///wAAAP///wAAAP////////////////////////////////////////////////////////////
 /////0BAQL+/v////////////////////////////////////////////////////////////4+Pj
 3BwcP////////////////////////////////////////////////////////////////////////
 ///////////////////////////////////////////////////////////////////7e3t0hISP/
-//////////////4+Pj////////////////////39/f////39/f////39/f////39/f////39/f///
-/39/f////39/f////39/f////39/f////+/v7////////////////////////////////////////
+//////////////yAgIP///////////////////wAAAP///wAAAP///wAAAP///wAAAP///wAAAP//
+/wAAAP///wAAAP///wAAAP///wAAAP///9/f3////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -1776,8 +1776,8 @@ P///wAAAP///wAAAP////////////////////////////////////////////////////////////
 //////////////////////wgICPf39///////////////////////////////////////////////
 /////////////7+/v0BAQP///////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-///////////2BgYJ+fn////////+fn5////////////////////////////7+/v////7+/v////7+
-/v////7+/v////7+/v////7+/v////7+/v////7+/v///////////////////////////////////
+///////////2BgYJ+fn////////5+fn////////////////////////////wAAAP///wAAAP///wA
+AAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP//////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -1787,8 +1787,8 @@ P///wAAAP///wAAAP////////////////////////////////////////////////////////////
 ///////////////////////////////////8/PzzAwMP/////////////////////////////////
 //////////////////////////////+/v7xAQEP//////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-////////////////////////////+fn5yAgIPf39////////yAgIP///////////////////wAAAP
-///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///0BAQP/////////////
+////////////////////////////+fn5yAgIPf39////////8fHx////////////////////7+/v/
+///7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v/////f39//////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ///////////////
@@ -1799,8 +1799,8 @@ P///wAAAP///wAAAP////////////////////////////////////////////////////////////
 /////////////////////////////////////4+Pj3BwcP///////////////////////////////
 ////////////////////////////////////xgYGOfn5/////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-//////////////////////////////////39/f39/f////7e3t///////////////////////////
-/0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///////////////
+//////////////////////////////////39/f39/f////8/Pz///////////////////////////
+/39/f////39/f////39/f////39/f////39/f////39/f////39/f////39/f////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -1810,9 +1810,9 @@ P///wAAAP///wAAAP////////////////////////////////////////////////////////////
 //////////////////////////////////////////////////////1hYWKenp///////////////
 /////////////////////////////////////////////////////0hISLe3t////////////////
 /////////////////////////////////////////////////////////////////////////////
-////////////////////////////////////////////////////f39yAgIOfn5//////////////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+////////////////////////////////////////////////////f39yAgIOfn5////yAgIP/////
+//////////////wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP//
+/0BAQP///////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 //////////////////////////////////////////////7+/v////////////////////wAAAP//
@@ -1822,8 +1822,8 @@ P///wAAAP///wAAAP////////////////////////////////////////////////////////////
 f3////////////////////////////////////////////////////////////////////3BwcI+P
 j////////////////////////////////////////////////////////////////////////////
 ////////////////////////////////////////////////////////////////////////5+fn2
-BgYP/////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+BgYM/Pz////////////////////////////39/f////39/f////39/f////39/f////39/f////39
+/f////39/f////39/f///////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ///////////////////////////////////////////////////////////wAAAP/////////////
@@ -2080,8 +2080,8 @@ BAQP///0BAQP///0BAQP///0BAQP/////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////9/f3yAgIP///////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-///////////////////////////////////////9/f3ygoKPf39//////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+///////////////////////////////////////9/f3ygoKPf39////////////////3BwcP///0B
+AQP///0BAQP///0BAQP///0BAQP//////////////////////////////////////////////////
 /////////////////////////////////+/v7ygoKOfn5////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ///////////////////////////////////////3h4eIeHh//////////////////////////////
@@ -2092,7 +2092,7 @@ BAQP///0BAQP///0BAQP///0BAQP/////////////////////////////////////////////////
 //////////////////////////////////////////////////5+fn2BgYP//////////////////
 /////////////////////////////////////////////////////////////////////////////
 ////////////////////////////////////////////////////////0BAQL+/v/////////////
-///////////7+/v////7+/v////7+/v//////////////////////////////////////////////
+///////////wAAAP///wAAAP///wAAAP///wAAAP/////////////////////////////////////
 //////////////////////////////////////////////////////4+Pj3BwcP//////////////
 /////////////////////////////////////////////////////////////////////////////
 ////////////////////////////////////////////////////////6enp1hYWP////////////
@@ -2103,7 +2103,7 @@ BAQP///0BAQP///0BAQP///0BAQP/////////////////////////////////////////////////
 ///////////////////////////////////////////////////////////////////3BwcI+Pj//
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////5+fn2BgY
-P///////////////////////0BAQP///wAAAP///wAAAP///2BgYP////////////////////////
+P///////////////////////8/Pz////7+/v////7+/v////7+/v////7+/v/////////////////
 ////////////////////////////////////////////////////////////////////////f39zg
 4OM/Pz///////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////8/Pz
@@ -2114,9 +2114,9 @@ zAwMP////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ///////zAwMM/Pz//////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-/////+fn5zAwMOfn5////////////////////////////wAAAP///wAAAP///wAAAP///////////
-///////////////
-/////////////////////////////////////////////////////////////////////////////
+/////+fn5zAwMOfn5////////////////////////////39/f////39/f////39/f////39/f////
+39/f////39/f///
+/39/f////39/f////39/f////39/f////39/f////39/f////4+Pj////////////////////////
 6+vr1BQUP////////////////////////////////////////////////////////////////////
 ////////////////////////////////////////////////////////////////////////////f
 39wgICP//////////////////////////////////////////////////////////////////////
@@ -2126,8 +2126,8 @@ zAwMP////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////+/v7xAQEP///////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-///////2BgYJ+fn//////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+///////2BgYJ+fn////////////////////////////0BAQP///wAAAP///wAAAP///wAAAP///wA
+AAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP//////////
 /////////////////////1BQUK+vr////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ///////////////////ygoKNfX1//////////////////////////////////////////////////
@@ -2137,9 +2137,9 @@ zAwMP////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 //////////////////////6+vr1BQUP//////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-////////////////////7+/v0BAQP///+fn5////+fn5////////////////////0BAQP///0BAQP
-///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP/////////////////////
-//////////////////////////////////////8/Pzzg4OPf39///////////////////////////
+////////////////////7+/v0BAQP///////////////////////////////////0BAQP///0BAQP
+///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0B
+AQP///1hYWP///////////////////////////8/Pzzg4OPf39///////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ////////////////////////////////////1BQUK+vr/////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -2148,8 +2148,8 @@ zAwMP////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ///////////////////////////////////////3h4eIeHh//////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-//////////////////////////////////f39zAwMNfX1////////wAAAP///////////////////
-0BAQP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///5+fn/
+//////////////////////////////////f39zAwMNfX1////////////////////////////////
+/////////////////////////////////////////////////////////////////////////////
 ///////////////////////////////////////////////////////////4+Pj3BwcP/////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////39/f39/f////////////////
@@ -2159,9 +2159,9 @@ zAwMP////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ////////////////////////////////////////////////////////0hISLe3t/////////////
 /////////////////////////////////////////////////////////////////////////////
-//////////////////////////////////////////////////3BwcI+Pj/////////f39/////f3
-9////////////////////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////
-7+/v////7+/v/////////////////////////////////////////////////////////////////
+//////////////////////////////////////////////////3BwcI+Pj////////9/f3////9/f
+3////////////////////wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///
+wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///5+fn/////////
 ///0BAQL+/v//////////////////////////////////////////////////////////////////
 //////////////////////////////////////////////////////////////////////6+vr1BQ
 UP///////////////////////////////////////////////////////////////////////////
@@ -2171,9 +2171,9 @@ UP///////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////ygoK
 NfX1///////////
 /////////////////////////////////////////////////////////////////////////////
-////////////////////////////////////////////////6enp1hYWP///////////////7+/v/
-///////////////////8/Pz////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+
-/v////7+/v///////////////////////////////////////////////////////////////////
+////////////////////////////////////////////////6enp1hYWP///////////////wAAAP
+///////////////////0BAQP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wA
+AAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP//////////
 /////+fn5zAwMOfn5////////////////////////////////////////////////////////////
 ////////////////////////////////////////////////////////////////////////9fX1y
 goKP/////////////////////////////////////////////////////////////////////////
@@ -2183,8 +2183,8 @@ goKP/////////////////////////////////////////////////////////////////////////
 ///////////////////////////////////////////////////////////////////////////xA
 QEO/v7///////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////8/Pzzg4OPf39////
-////////9/f3////9/f3////////////////////wAAAP///wAAAP///wAAAP///wAAAP///wAAAP
-///wAAAP///wAAAP///wAAAP/////////////////////////////////////////////////////
+/////////////////////////////////////////////////////////////////////////////
+/////////////////////////////////////////////////////////////////////////////
 //////////////////////////6+vr1BQUP//////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ////////////+fn5xgYGP////////////////////////////////////////////////////////
@@ -2205,8 +2205,8 @@ QEO/v7///////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ////////////////////////////8/PzzAwMP////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-//////////////0BAQL+/v///////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+//////////////0BAQL+/v////////////////////9/f3////9/f3////////////////////wAA
+AP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///////////////////
 /////////////////////////////////////////////////////////////////f39zAwMNfX1/
 /////////////////////////////////////////////////////////////////////////////
 //////////////////////////////////////////////////xAQEO/v7///////////////////
@@ -2216,9 +2216,9 @@ QEO/v7///////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////7e3t0hISP///////////////////////
 /////////////////////////////////////////////////////////////////////////////
-///////////////////////////3h4eIeHh//////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+///////////////////////////3h4eIeHh////////////////////////////39/f//////////
+//////////5+fn////39/f////39/f////39/f////39/f////39/f////39/f////39/f////39/
+f////////////////////////////////////////////////////////////////////////////
 ////////9fX1zAwMPf39/////////////////////////////////////////////////////////
 ///////////////////////////////////////////////////////////////////yAgIN/f3//
 /////////////////////////////////////////////////////////////////////////////
@@ -2415,9 +2415,9 @@ Pj2hoaEBAQAAAACgoKFBQUH9/f7e3t9/f3///////////////////////////////////////////
 ///////////////////////////////9fX16+vr39/f0hISCAgICgoKHBwcMfHx//////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-////////////////////////////////////////////////////////////////0BAQP///0BAQP
+////////////////////////////////////////+fn5////0BAQP///0BAQP///0BAQP///0BAQP
 ///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0B
-AQP///0BAQP///1hYWP//////////////////////////////////////////////////////////
+AQP///0BAQP///0BAQP///0BAQP///0BAQP//////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -2426,9 +2426,9 @@ AQP///0BAQP///1hYWP//////////////////////////////////////////////////////////
 ////////////////////////////////////////////////////////////////////9fX14+Pjz
 g4OBAQEGBgYKenp/f39//////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
-5+fn////wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP
-///wAAAP///wAAAP///wAAAP///wAAAP/////////////////////////////////////////////
+/////////////////////////////////////////////////////////////wAAAP///wAAAP///
+wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP
+///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///2BgYP/////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -2437,10 +2437,10 @@ vr/f39////////////////////////////////yAgIP///////////////////39/f////wAAAP//
 /wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///////////////////////
 ////////////////////+/v75+fn1hYWAgICFBQUJ+fn/////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////
+///////////////////////////////////////////////////////////////////////////f3
+9////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////
 7+/v////7+/v///
-/7+/v////7+/v////7+/v////7+/v////8fHx////////////////////////////////////////
+/7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -2449,9 +2449,9 @@ vr/f39////////////////////////////////yAgIP///////////////////39/f////wAAAP//
 AAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP/////////////////
 //////////////////////////////////////6+vr2BgYBgYGIeHh+fn5///////////////////
 /////////////////////////////////////////////////////////////////////////////
-////////////////////////////////////////////////////////////////////////8/Pz/
-///////////////////+fn5////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+
-/v////7+/v////7+/v////7+/v////7+/v////8/Pz///////////////////////////////////
+////////////////////////////////////////////////////////8/Pz/////////////////
+///7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+
+/v////7+/v////7+/v///////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -2460,9 +2460,9 @@ AAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP/////////////////
 ////9/f3////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v////7+/v/////
 ///////////////////////////////////////////////////////////////+fn53h4eCAgIGB
 gYNfX1///////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
-////////////////39/f////////////////////wAAAP///wAAAP///wAAAP///wAAAP///wAAAP
-///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP/////////////////////
+/////////////////////////////////////////////////////////////////////39/f////
+////////////////9/f3////wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP
+///wAAAP///wAAAP///wAAAP///wAAAP///wAAAP/////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -2472,8 +2472,8 @@ ISKenp///////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ////////////f395+fnygoKEhISK+vr//////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////3BwcP///////////////////7e3t////0BAQP///0BAQP///
-0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///3BwcP
+/////////////3BwcP///////////////////0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///
+0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP///0BAQP////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -3206,8 +3206,8 @@ eHh4+Pj//////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////w4AAAAUAAAAAAAAABAAAAAUAAAA</PreviewPicture>
 <TimeCreated>2003-12-23T10:01:54</TimeCreated>
-<TimeSaved>2003-12-23T14:54:34</TimeSaved>
-<TimeEdited>2003-12-23T14:54:30</TimeEdited>
+<TimeSaved>2004-05-03T14:58:25</TimeSaved>
+<TimeEdited>2004-05-03T14:58:01</TimeEdited>
 <TimePrinted>2003-12-23T10:01:54</TimePrinted>
 </DocumentProperties>
 <DocumentSettings TopPage='0' DefaultTextStyle='26' DefaultLineStyle='26' DefaultFillStyle='26' DefaultGuideStyle='4'>
@@ -3272,7 +3272,7 @@ eHh4+Pj//////////////////////////////////////////////////////////////////////
 <EnableLineProps F='1'>1</EnableLineProps>
 <EnableFillProps F='1'>1</EnableFillProps>
 <EnableTextProps F='1'>1</EnableTextProps>
-<HideForApply F='0'>0</HideForApply>
+<HideForApply F='FALSE'>0</HideForApply>
 </StyleProp>
 <Line>
 <LineWeight F='0.01DT'>0.01</LineWeight>
@@ -4876,45 +4876,45 @@ eHh4+Pj//////////////////////////////////////////////////////////////////////
 <Connection IX='0'>
 <X Unit='IN' F='Width*0.5'>0.375</X>
 <Y Unit='IN' F='Height*0'>0</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </Connection>
 <Connection IX='1'>
 <X Unit='IN' F='Width*1'>0.75</X>
 <Y Unit='IN' F='Height*0.5'>0.375</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </Connection>
 <Connection IX='2'>
 <X Unit='IN' F='Width*0.5'>0.375</X>
 <Y Unit='IN' F='Height*1'>0.75</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </Connection>
 <Connection IX='3'>
 <X Unit='IN' F='Width*0'>0</X>
 <Y Unit='IN' F='Height*0.5'>0.375</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </Connection>
 <Prop NameU='Cost' ID='1'>
 <Value F='No Formula'>0</Value>
 <Prompt>Enter the cost associated with this process.</Prompt>
 <Label>Cost</Label>
 <Format>@</Format>
-<SortKey F='No Formula'>&#xe000;</SortKey>
+<SortKey F='No Formula'/>
 <Type>7</Type>
 <Invisible F='No Formula'>0</Invisible>
 <Verify F='No Formula'>0</Verify>
@@ -4923,8 +4923,8 @@ eHh4+Pj//////////////////////////////////////////////////////////////////////
 <Value F='No Formula'>0</Value>
 <Prompt>Enter the duration of this step.</Prompt>
 <Label>Duration</Label>
-<Format F='No Formula'>&#xe000;</Format>
-<SortKey F='No Formula'>&#xe000;</SortKey>
+<Format F='No Formula'/>
+<SortKey F='No Formula'/>
 <Type>2</Type>
 <Invisible F='No Formula'>0</Invisible>
 <Verify F='No Formula'>0</Verify>
@@ -4933,8 +4933,8 @@ eHh4+Pj//////////////////////////////////////////////////////////////////////
 <Value F='No Formula'>0</Value>
 <Prompt>Enter the number of people required to complete this task.</Prompt>
 <Label>Resources</Label>
-<Format F='No Formula'>&#xe000;</Format>
-<SortKey F='No Formula'>&#xe000;</SortKey>
+<Format F='No Formula'/>
+<SortKey F='No Formula'/>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
 <Verify F='No Formula'>0</Verify>
@@ -4947,15 +4947,15 @@ eHh4+Pj//////////////////////////////////////////////////////////////////////
 </Act>
 <User NameU='AntiScale' ID='1'>
 <Value F='If(ThePage!DrawingScale/ThePage!PageScale&lt;8,1,ThePage!DrawingScale/ThePage!PageScale)'>1</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <User NameU='visKeywords' ID='3'>
 <Value Unit='STR'>Entity,Adds,resizable,data,flow,diagram,DFDs,DeMarco,Gane,Sarson,Yourdon,databases,stores</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <User NameU='visVersion' ID='4'>
 <Value>10</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <Geom IX='0'>
 <NoFill>0</NoFill>
@@ -5095,54 +5095,54 @@ D/AAAA/wAAAP8AAAD/AAAA/wAAAP8AAAD/AAAA/wAAAP8AAAD/AAAA/wAAAP8AAAD/AAAA/wAAAf/
 <Connection IX='0'>
 <X Unit='IN' F='Width*0.5'>0.375</X>
 <Y Unit='IN' F='Height*0.5'>0.375</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </Connection>
 <Connection IX='1'>
 <X Unit='IN' F='Width*0.5'>0.375</X>
 <Y Unit='IN' F='Height*0'>0</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </Connection>
 <Connection IX='2'>
 <X Unit='IN' F='Width*1'>0.75</X>
 <Y Unit='IN' F='Height*0.5'>0.375</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </Connection>
 <Connection IX='3'>
 <X Unit='IN' F='Width*0.5'>0.375</X>
 <Y Unit='IN' F='Height*1'>0.75</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </Connection>
 <Connection IX='4'>
 <X Unit='IN' F='Width*0'>0</X>
 <Y Unit='IN' F='Height*0.5'>0.375</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </Connection>
 <Prop NameU='Cost' ID='1'>
 <Value F='No Formula'>0</Value>
 <Prompt>Enter the cost associated with this process.</Prompt>
 <Label>Cost</Label>
 <Format>@</Format>
-<SortKey F='No Formula'>&#xe000;</SortKey>
+<SortKey F='No Formula'/>
 <Type>7</Type>
 <Invisible F='No Formula'>0</Invisible>
 <Verify F='No Formula'>0</Verify>
@@ -5151,8 +5151,8 @@ D/AAAA/wAAAP8AAAD/AAAA/wAAAP8AAAD/AAAA/wAAAP8AAAD/AAAA/wAAAP8AAAD/AAAA/wAAAf/
 <Value F='No Formula'>0</Value>
 <Prompt>Enter the duration of this step.</Prompt>
 <Label>Duration</Label>
-<Format F='No Formula'>&#xe000;</Format>
-<SortKey F='No Formula'>&#xe000;</SortKey>
+<Format F='No Formula'/>
+<SortKey F='No Formula'/>
 <Type>2</Type>
 <Invisible F='No Formula'>0</Invisible>
 <Verify F='No Formula'>0</Verify>
@@ -5161,8 +5161,8 @@ D/AAAA/wAAAP8AAAD/AAAA/wAAAP8AAAD/AAAA/wAAAP8AAAD/AAAA/wAAAP8AAAD/AAAA/wAAAf/
 <Value F='No Formula'>0</Value>
 <Prompt>Enter the number of people required to complete this task.</Prompt>
 <Label>Resources</Label>
-<Format F='No Formula'>&#xe000;</Format>
-<SortKey F='No Formula'>&#xe000;</SortKey>
+<Format F='No Formula'/>
+<SortKey F='No Formula'/>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
 <Verify F='No Formula'>0</Verify>
@@ -5175,15 +5175,15 @@ D/AAAA/wAAAP8AAAD/AAAA/wAAAP8AAAD/AAAA/wAAAP8AAAD/AAAA/wAAAP8AAAD/AAAA/wAAAf/
 </Act>
 <User NameU='ScaleFactor' ID='1'>
 <Value F='ThePage!DrawingScale/ThePage!PageScale'>1</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <User NameU='visKeywords' ID='3'>
 <Value Unit='STR'>Start,state,Adds,data,flow,diagram,Use,center,style,connectors,loops,DFDs,DeMarco,Gane,Sarson,Yourdon,databases,stores</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <User NameU='visVersion' ID='4'>
 <Value>10</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <Geom IX='0'>
 <NoFill>0</NoFill>
@@ -5319,54 +5319,54 @@ A+AAAAPgAAAD4AAAA+AAAAfwAAAH8AAAB/AAAA/4AAAP+AAAH/wAAD/+AAB//wAA//+AAf//4Af//
 <Connection IX='0'>
 <X F='Width*0'>0</X>
 <Y F='Height*0.5'>0.375</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </Connection>
 <Connection IX='1'>
 <X F='Width*0.5'>0.375</X>
 <Y F='Height*0'>0</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </Connection>
 <Connection IX='2'>
 <X F='Width*1'>0.75</X>
 <Y F='Height*0.5'>0.375</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </Connection>
 <Connection IX='3'>
 <X F='Width*0.5'>0.375</X>
 <Y F='Height*1'>0.75</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </Connection>
 <Connection IX='4'>
 <X F='Width*0.5'>0.375</X>
 <Y F='Height*0.5'>0.375</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </Connection>
 <Prop NameU='Cost' ID='1'>
 <Value F='No Formula'>0</Value>
 <Prompt>Enter the cost associated with this process.</Prompt>
 <Label>Cost</Label>
 <Format>@</Format>
-<SortKey F='No Formula'>&#xe000;</SortKey>
+<SortKey F='No Formula'/>
 <Type>7</Type>
 <Invisible F='No Formula'>0</Invisible>
 <Verify F='No Formula'>0</Verify>
@@ -5375,8 +5375,8 @@ A+AAAAPgAAAD4AAAA+AAAAfwAAAH8AAAB/AAAA/4AAAP+AAAH/wAAD/+AAB//wAA//+AAf//4Af//
 <Value F='No Formula'>0</Value>
 <Prompt>Enter the duration of this step.</Prompt>
 <Label>Duration</Label>
-<Format F='No Formula'>&#xe000;</Format>
-<SortKey F='No Formula'>&#xe000;</SortKey>
+<Format F='No Formula'/>
+<SortKey F='No Formula'/>
 <Type>2</Type>
 <Invisible F='No Formula'>0</Invisible>
 <Verify F='No Formula'>0</Verify>
@@ -5385,8 +5385,8 @@ A+AAAAPgAAAD4AAAA+AAAAfwAAAH8AAAB/AAAA/4AAAP+AAAH/wAAD/+AAB//wAA//+AAf//4Af//
 <Value F='No Formula'>0</Value>
 <Prompt>Enter the number of people required to complete this task.</Prompt>
 <Label>Resources</Label>
-<Format F='No Formula'>&#xe000;</Format>
-<SortKey F='No Formula'>&#xe000;</SortKey>
+<Format F='No Formula'/>
+<SortKey F='No Formula'/>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
 <Verify F='No Formula'>0</Verify>
@@ -5399,11 +5399,11 @@ A+AAAAPgAAAD4AAAA+AAAAfwAAAH8AAAB/AAAA/4AAAP+AAAH/wAAD/+AAB//wAA//+AAf//4Af//
 </Act>
 <User NameU='visKeywords' ID='2'>
 <Value Unit='STR'>State,Adds,data,flow,diagram,Use,center,style,connectors,loops,DFDs,DeMarco,Gane,Sarson,Yourdon,databases,stores</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <User NameU='visVersion' ID='3'>
 <Value>10</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <Geom IX='0'>
 <NoFill>0</NoFill>
@@ -5556,15 +5556,15 @@ A+AAAAPgAAAD4AAAA+AAAAfwAAAH8AAAB/AAAA/4AAAP+AAAH/wAAD/+AAB//wAA//+AAf//4Af//
 </LayerMem>
 <User NameU='ScaleFactor' ID='1'>
 <Value F='ThePage!DrawingScale/ThePage!PageScale'>1</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <User NameU='visKeywords' ID='3'>
 <Value Unit='STR'>Loop,on,center,Adds,adjustable,data,flow,diagram,Glue,state,process,adjust,DFDs,DeMarco,Gane,Sarson,Yourdon,databases,stores</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <User NameU='visVersion' ID='4'>
 <Value>10</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <Scratch IX='0'>
 <X Unit='IN' F='Sqrt(Scratch.B1*Scratch.B1-Scratch.Y1*Scratch.Y1)'>0.5728359494296</X>
@@ -5721,15 +5721,15 @@ v8B//7/A///f4///3////9////+//3//v/9//3//v/7//9/9///j8////A///////////////////
 </User>
 <User NameU='Scale' ID='3'>
 <Value F='ThePage!DrawingScale/ThePage!PageScale'>1</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <User NameU='visKeywords' ID='5'>
 <Value Unit='STR'>Note,box,contemp,Decorative,notes,automatically,sized,fit,text,Borders,Titles,backgrounds,buttons,title,blocks</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <User NameU='visVersion' ID='6'>
 <Value>10</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <Scratch IX='0'>
 <X Unit='IN' F='User.Margin*2'>0.25</X>
@@ -6010,7 +6010,7 @@ v8B//7/A///f4///3////9////+//3//v/9//3//v/7//9/9///j8////A///////////////////
 </Para>
 <User NameU='Margin' ID='1'>
 <Value Unit='IN' F='Sheet.5!User.Margin'>0.125</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <Char IX='0'>
 <Font F='Inh'>0</Font>
@@ -6269,7 +6269,7 @@ v8B//7/A///f4///3////9////+//3//v/9//3//v/7//9/9///j8////A///////////////////
 </Para>
 <User NameU='Margin' ID='1'>
 <Value Unit='IN' F='Sheet.5!User.Margin'>0.125</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <Char IX='0'>
 <Font F='Inh'>0</Font>
@@ -6382,7 +6382,7 @@ v8B//7/A///f4///3////9////+//3//v/9//3//v/7//9/9///j8////A///////////////////
 <IndFirst>0</IndFirst>
 <IndLeft>0</IndLeft>
 <IndRight>0</IndRight>
-<SpLine F='-120%'>-1.2</SpLine>
+<SpLine>-1.2</SpLine>
 <SpBefore>0</SpBefore>
 <SpAfter>0</SpAfter>
 <HorzAlign>0</HorzAlign>
@@ -6546,15 +6546,15 @@ A/AAAAPwAAAD8AAAA/AAAAPwAAAD8AAAA/AAAAPwAAAD8AAAA8AAAAP3////96q///egP//3Gn///
 </LayerMem>
 <User NameU='ScaleFactor' ID='1'>
 <Value F='ThePage!DrawingScale/ThePage!PageScale'>1</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <User NameU='visKeywords' ID='3'>
 <Value Unit='STR'>Center,Connects,glue,points,on,two,states,processes,data,flow,diagram,DFDs,DeMarco,Gane,Sarson,Yourdon,databases,stores</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <User NameU='visVersion' ID='4'>
 <Value>10</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <Scratch IX='0'>
 <X Unit='IN' F='-Height'>-0.75</X>
@@ -6659,13 +6659,13 @@ H/7//5//f/9f/5/8///gA////////////8////PH///jw//3w8P/+8PDgAHDw//7w8P/98PH///jz
 </Master>
 </Masters>
 <Pages>
-<Page ID='0' NameU='Page-1' ViewScale='1' ViewCenterX='5.1666666666667' ViewCenterY='6.6822916666667'>
+<Page ID='0' NameU='Page-1' ViewScale='1' ViewCenterX='5.1666666666667' ViewCenterY='8.015625'>
 <PageSheet LineStyle='0' FillStyle='0' TextStyle='0'>
 <PageProps>
 <PageWidth Unit='IN_F'>8.5</PageWidth>
 <PageHeight Unit='IN_F'>11</PageHeight>
 <ShdwOffsetX Unit='IN'>0.125</ShdwOffsetX>
-<ShdwOffsetY Unit='IN' F='-0.125IN'>-0.125</ShdwOffsetY>
+<ShdwOffsetY Unit='IN'>-0.125</ShdwOffsetY>
 <PageScale Unit='IN_F'>1</PageScale>
 <DrawingScale Unit='IN_F'>1</DrawingScale>
 <DrawingSizeType>0</DrawingSizeType>
@@ -6752,8 +6752,68 @@ H/7//5//f/9f/5/8///gA////////////8////PH///jw//3w8P/+8PDgAHDw//7w8P/98PH///jz
 <Shapes>
 <Shape ID='30' Type='Shape' LineStyle='1' FillStyle='1' TextStyle='26'>
 <XForm>
-<PinX>6.75</PinX>
+<PinX>7.03125</PinX>
 <PinY>5.9855674544158</PinY>
+<Width>2.3125</Width>
+<Height>0.75</Height>
+<LocPinX F='Width*0.5'>1.15625</LocPinX>
+<LocPinY F='Height*0.5'>0.375</LocPinY>
+<Angle>0</Angle>
+<FlipX>0</FlipX>
+<FlipY>0</FlipY>
+<ResizeMode>0</ResizeMode>
+</XForm>
+<Event>
+<TheData F='No Formula'>0</TheData>
+<TheText F='No Formula'>0</TheText>
+<EventDblClick F='_OpenTextWin()'>0</EventDblClick>
+<EventXFMod F='No Formula'>0</EventXFMod>
+<EventDrop F='No Formula'>0</EventDrop>
+</Event>
+<Para IX='0'>
+<IndFirst>-0.25</IndFirst>
+<IndLeft>0.25</IndLeft>
+<IndRight F='Inh'>0</IndRight>
+<SpLine F='Inh'>-1.2</SpLine>
+<SpBefore F='Inh'>0</SpBefore>
+<SpAfter F='Inh'>0</SpAfter>
+<HorzAlign>0</HorzAlign>
+<Bullet>1</Bullet>
+<BulletStr F='Inh'/>
+</Para>
+<Geom IX='0'>
+<NoFill>0</NoFill>
+<NoLine>0</NoLine>
+<NoShow>0</NoShow>
+<NoSnap>0</NoSnap>
+<MoveTo IX='1'>
+<X F='Width*0'>0</X>
+<Y F='Height*0'>0</Y>
+</MoveTo>
+<LineTo IX='2'>
+<X F='Width*1'>2.3125</X>
+<Y F='Height*0'>0</Y>
+</LineTo>
+<LineTo IX='3'>
+<X F='Width*1'>2.3125</X>
+<Y F='Height*1'>0.75</Y>
+</LineTo>
+<LineTo IX='4'>
+<X F='Width*0'>0</X>
+<Y F='Height*1'>0.75</Y>
+</LineTo>
+<LineTo IX='5'>
+<X F='Width*0'>0</X>
+<Y F='Height*0'>0</Y>
+</LineTo>
+</Geom>
+<Text><pp IX='0'/>“firewall stop”
+Failed “firewall (restart|add|delete|refresh) with no /var/lib/shorewall/restore</Text>
+</Shape>
+<Shape ID='31' Type='Shape' LineStyle='1' FillStyle='1' TextStyle='26'>
+<XForm>
+<PinX>7.375</PinX>
+<PinY>8.375</PinY>
 <Width>1.75</Width>
 <Height>0.75</Height>
 <LocPinX F='Width*0.5'>0.875</LocPinX>
@@ -6807,67 +6867,7 @@ H/7//5//f/9f/5/8///gA////////////8////PH///jw//3w8P/+8PDgAHDw//7w8P/98PH///jz
 <Y F='Height*0'>0</Y>
 </LineTo>
 </Geom>
-<Text><pp IX='0'/>“firewall stop”
-Failed “firewall (restart|add|delete|refresh)</Text>
-</Shape>
-<Shape ID='31' Type='Shape' LineStyle='1' FillStyle='1' TextStyle='26'>
-<XForm>
-<PinX>7.375</PinX>
-<PinY>8.375</PinY>
-<Width>1.375</Width>
-<Height>0.75</Height>
-<LocPinX F='Width*0.5'>0.6875</LocPinX>
-<LocPinY F='Height*0.5'>0.375</LocPinY>
-<Angle>0</Angle>
-<FlipX>0</FlipX>
-<FlipY>0</FlipY>
-<ResizeMode>0</ResizeMode>
-</XForm>
-<Event>
-<TheData F='No Formula'>0</TheData>
-<TheText F='No Formula'>0</TheText>
-<EventDblClick F='_OpenTextWin()'>0</EventDblClick>
-<EventXFMod F='No Formula'>0</EventXFMod>
-<EventDrop F='No Formula'>0</EventDrop>
-</Event>
-<Para IX='0'>
-<IndFirst>-0.25</IndFirst>
-<IndLeft>0.25</IndLeft>
-<IndRight F='Inh'>0</IndRight>
-<SpLine F='Inh'>-1.2</SpLine>
-<SpBefore F='Inh'>0</SpBefore>
-<SpAfter F='Inh'>0</SpAfter>
-<HorzAlign>0</HorzAlign>
-<Bullet>1</Bullet>
-<BulletStr F='Inh'/>
-</Para>
-<Geom IX='0'>
-<NoFill>0</NoFill>
-<NoLine>0</NoLine>
-<NoShow>0</NoShow>
-<NoSnap>0</NoSnap>
-<MoveTo IX='1'>
-<X F='Width*0'>0</X>
-<Y F='Height*0'>0</Y>
-</MoveTo>
-<LineTo IX='2'>
-<X F='Width*1'>1.375</X>
-<Y F='Height*0'>0</Y>
-</LineTo>
-<LineTo IX='3'>
-<X F='Width*1'>1.375</X>
-<Y F='Height*1'>0.75</Y>
-</LineTo>
-<LineTo IX='4'>
-<X F='Width*0'>0</X>
-<Y F='Height*1'>0.75</Y>
-</LineTo>
-<LineTo IX='5'>
-<X F='Width*0'>0</X>
-<Y F='Height*0'>0</Y>
-</LineTo>
-</Geom>
-<Text><pp IX='0'/>Successful “firewall (restart|refresh|reset)”</Text>
+<Text><pp IX='0'/>Successful “firewall (restart|refresh|reset|restore)”</Text>
 </Shape>
 <Shape ID='39' Type='Group' LineStyle='26' FillStyle='26' TextStyle='26'>
 <XForm>
@@ -6899,6 +6899,7 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <IsDropSource F='Inh'>0</IsDropSource>
 <NoLiveDynamics F='Inh'>0</NoLiveDynamics>
 </Misc>
+<Text/>
 <Shapes>
 <Shape ID='1' NameU='Start state' Type='Shape' Master='2'>
 <XForm>
@@ -6923,6 +6924,10 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <LayerMem>
 <LayerMember>0</LayerMember>
 </LayerMem>
+<User NameU='ScaleFactor' ID='1'>
+<Value F='Inh'>1</Value>
+<Prompt F='No Formula'/>
+</User>
 <Scratch IX='0'>
 <X Unit='IN' F='Inh'>0.0871</X>
 <Y F='No Formula'>0</Y>
@@ -6941,15 +6946,11 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <CanGlue F='Inh'>1</CanGlue>
 <Prompt F='Inh'>Move Inner Circle</Prompt>
 </Control>
-<User NameU='ScaleFactor' ID='1'>
-<Value F='Inh'>1</Value>
-<Prompt F='No Formula'/>
-</User>
 <Connection IX='0'>
 <X F='Inh'>0.35491071428571</X>
 <Y F='Inh'>0.35491071428571</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
 <Prompt F='No Formula'/>
@@ -6957,8 +6958,8 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <Connection IX='1'>
 <X F='Inh'>0.35491071428571</X>
 <Y F='Inh'>0</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
 <Prompt F='No Formula'/>
@@ -6966,8 +6967,8 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <Connection IX='2'>
 <X F='Inh'>0.70982142857143</X>
 <Y F='Inh'>0.35491071428571</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
 <Prompt F='No Formula'/>
@@ -6975,8 +6976,8 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <Connection IX='3'>
 <X F='Inh'>0.35491071428571</X>
 <Y F='Inh'>0.70982142857143</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
 <Prompt F='No Formula'/>
@@ -6984,8 +6985,8 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <Connection IX='4'>
 <X F='Inh'>0</X>
 <Y F='Inh'>0.35491071428571</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
 <Prompt F='No Formula'/>
@@ -7057,8 +7058,8 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <Connection IX='0'>
 <X F='Inh'>0</X>
 <Y F='Inh'>0.35491071428571</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
 <Prompt F='No Formula'/>
@@ -7066,8 +7067,8 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <Connection IX='1'>
 <X F='Inh'>0.35491071428571</X>
 <Y F='Inh'>0</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
 <Prompt F='No Formula'/>
@@ -7075,8 +7076,8 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <Connection IX='2'>
 <X F='Inh'>0.70982142857143</X>
 <Y F='Inh'>0.35491071428571</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
 <Prompt F='No Formula'/>
@@ -7084,8 +7085,8 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <Connection IX='3'>
 <X F='Inh'>0.35491071428571</X>
 <Y F='Inh'>0.70982142857143</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
 <Prompt F='No Formula'/>
@@ -7093,8 +7094,8 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <Connection IX='4'>
 <X F='Inh'>0.35491071428571</X>
 <Y F='Inh'>0.35491071428571</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
 <Prompt F='No Formula'/>
@@ -7152,8 +7153,8 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <Connection IX='0'>
 <X F='Inh'>0</X>
 <Y F='Inh'>0.35491071428571</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
 <Prompt F='No Formula'/>
@@ -7161,8 +7162,8 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <Connection IX='1'>
 <X F='Inh'>0.35491071428571</X>
 <Y F='Inh'>0</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
 <Prompt F='No Formula'/>
@@ -7170,8 +7171,8 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <Connection IX='2'>
 <X F='Inh'>0.70982142857143</X>
 <Y F='Inh'>0.35491071428571</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
 <Prompt F='No Formula'/>
@@ -7179,8 +7180,8 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <Connection IX='3'>
 <X F='Inh'>0.35491071428571</X>
 <Y F='Inh'>0.70982142857143</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
 <Prompt F='No Formula'/>
@@ -7188,8 +7189,8 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <Connection IX='4'>
 <X F='Inh'>0.35491071428571</X>
 <Y F='Inh'>0.35491071428571</Y>
-<DirX Unit='NUM' F='No Formula'>0</DirX>
-<DirY Unit='NUM' F='No Formula'>0</DirY>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
 <Type F='No Formula'>0</Type>
 <AutoGen F='No Formula'>0</AutoGen>
 <Prompt F='No Formula'/>
@@ -7259,6 +7260,10 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <TxtLocPinY Unit='IN' F='Inh'>0.125</TxtLocPinY>
 <TxtAngle F='Inh'>-1.8769053397437E-15</TxtAngle>
 </TextXForm>
+<User NameU='ScaleFactor' ID='1'>
+<Value F='Inh'>1</Value>
+<Prompt F='No Formula'/>
+</User>
 <Scratch IX='0'>
 <X Unit='IN' F='Inh'>0.5728359494296</X>
 <Y F='Inh'>0.25</Y>
@@ -7267,10 +7272,6 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <C Unit='IN' F='Inh'>0.50001281983565</C>
 <D Unit='IN' F='Inh'>0.125</D>
 </Scratch>
-<User NameU='ScaleFactor' ID='1'>
-<Value F='Inh'>1</Value>
-<Prompt F='No Formula'/>
-</User>
 <Geom IX='0'>
 <NoFill F='Inh'>1</NoFill>
 <NoLine F='No Formula'>0</NoLine>
@@ -7325,6 +7326,10 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <TxtLocPinY Unit='IN' F='Inh'>0.125</TxtLocPinY>
 <TxtAngle F='Inh'>2.3461316746796E-16</TxtAngle>
 </TextXForm>
+<User NameU='ScaleFactor' ID='1'>
+<Value F='Inh'>1</Value>
+<Prompt F='No Formula'/>
+</User>
 <Scratch IX='0'>
 <X Unit='IN' F='Inh'>0.5728359494296</X>
 <Y F='Inh'>0.25</Y>
@@ -7333,10 +7338,6 @@ Failed “firewall (restart|add|delete|refresh)</Text>
 <C Unit='IN' F='Inh'>0.50001281983565</C>
 <D Unit='IN' F='Inh'>0.125</D>
 </Scratch>
-<User NameU='ScaleFactor' ID='1'>
-<Value F='Inh'>1</Value>
-<Prompt F='No Formula'/>
-</User>
 <Geom IX='0'>
 <NoFill F='Inh'>1</NoFill>
 <NoLine F='No Formula'>0</NoLine>
@@ -8468,7 +8469,7 @@ configuration</Text>
 <TextXForm>
 <TxtPinX F='Inh'>0</TxtPinX>
 <TxtPinY F='Inh'>0.51111111111111</TxtPinY>
-<TxtWidth F='Inh'>1.5872938378056</TxtWidth>
+<TxtWidth F='Inh'>1.5872938378055</TxtWidth>
 <TxtHeight F='Inh'>0.51111111111111</TxtHeight>
 <TxtLocPinX F='Inh'>0</TxtLocPinX>
 <TxtLocPinY F='Inh'>0.51111111111111</TxtLocPinY>
@@ -9341,11 +9342,11 @@ in /etc/shorewall/routestopped</Text>
 </Shape>
 <Shape ID='33' Type='Shape' LineStyle='1' FillStyle='1' TextStyle='26'>
 <XForm>
-<PinX F='Sheet.39!Width*0.48735809665562'>3.2287473903435</PinX>
+<PinX F='Sheet.39!Width*0.5188679245283'>3.4375</PinX>
 <PinY F='Sheet.39!Height*0.58268875440849'>4.0326483996507</PinY>
-<Width F='Sheet.39!Width*0.18226336312257'>1.207494780687</Width>
+<Width F='Sheet.39!Width*0.24528301886792'>1.625</Width>
 <Height F='Sheet.39!Height*0.10554844898792'>0.73047537073002</Height>
-<LocPinX F='Width*0.5'>0.6037473903435</LocPinX>
+<LocPinX F='Width*0.5'>0.8125</LocPinX>
 <LocPinY F='Height*0.5'>0.36523768536501</LocPinY>
 <Angle>0</Angle>
 <FlipX>0</FlipX>
@@ -9380,11 +9381,11 @@ in /etc/shorewall/routestopped</Text>
 <Y F='Height*0'>0</Y>
 </MoveTo>
 <LineTo IX='2'>
-<X F='Width*1'>1.207494780687</X>
+<X F='Width*1'>1.625</X>
 <Y F='Height*0'>0</Y>
 </LineTo>
 <LineTo IX='3'>
-<X F='Width*1'>1.207494780687</X>
+<X F='Width*1'>1.625</X>
 <Y F='Height*1'>0.73047537073002</Y>
 </LineTo>
 <LineTo IX='4'>
@@ -9397,7 +9398,7 @@ in /etc/shorewall/routestopped</Text>
 </LineTo>
 </Geom>
 <Text><pp IX='0'/>“firewall stop”
-Failed “firewall start”</Text>
+Failed “firewall start” with no /var/lib/shorewall/restore</Text>
 </Shape>
 <Shape ID='34' Type='Shape' LineStyle='1' FillStyle='1' TextStyle='26'>
 <XForm>
@@ -9642,11 +9643,11 @@ Failed “firewall start”</Text>
 </Shape>
 <Shape ID='38' Type='Shape' LineStyle='1' FillStyle='1' TextStyle='26'>
 <XForm>
-<PinX F='Sheet.39!Width*0.80357142857143'>5.3236607142857</PinX>
+<PinX F='Sheet.39!Width*0.85815363881402'>5.6852678571429</PinX>
 <PinY F='Sheet.39!Height*0.21367521367521'>1.4787946428571</PinY>
-<Width F='Sheet.39!Width*0.25'>1.65625</Width>
+<Width F='Sheet.39!Width*0.35916442048518'>2.3794642857143</Width>
 <Height F='Sheet.39!Height*0.1025641025641'>0.70982142857143</Height>
-<LocPinX F='Width*0.5'>0.828125</LocPinX>
+<LocPinX F='Width*0.5'>1.1897321428572</LocPinX>
 <LocPinY F='Height*0.5'>0.35491071428571</LocPinY>
 <Angle>0</Angle>
 <FlipX>0</FlipX>
@@ -9681,11 +9682,11 @@ Failed “firewall start”</Text>
 <Y F='Height*0'>0</Y>
 </MoveTo>
 <LineTo IX='2'>
-<X F='Width*1'>1.65625</X>
+<X F='Width*1'>2.3794642857143</X>
 <Y F='Height*0'>0</Y>
 </LineTo>
 <LineTo IX='3'>
-<X F='Width*1'>1.65625</X>
+<X F='Width*1'>2.3794642857143</X>
 <Y F='Height*1'>0.70982142857143</Y>
 </LineTo>
 <LineTo IX='4'>
@@ -9697,7 +9698,7 @@ Failed “firewall start”</Text>
 <Y F='Height*0'>0</Y>
 </LineTo>
 </Geom>
-<Text><pp IX='0'/>“firewall stop”
+<Text><pp IX='0'/>“firewall stop” with no /var/lib/shorewall/restore
 Failed “firewall start”</Text>
 </Shape>
 </Shapes>
@@ -9721,8 +9722,8 @@ Failed “firewall start”</Text>
 </Connects>
 </Page>
 </Pages>
-<Windows ClientWidth='1280' ClientHeight='850'>
-<Window ID='0' WindowType='Drawing' WindowState='1073741824' WindowLeft='-4' WindowTop='-30' WindowWidth='1288' WindowHeight='884' ContainerType='Page' Page='0' ViewScale='1' ViewCenterX='5.1666666666667' ViewCenterY='6.6822916666667'>
+<Windows ClientWidth='1024' ClientHeight='594'>
+<Window ID='0' WindowType='Drawing' WindowState='1073741824' WindowLeft='-4' WindowTop='-30' WindowWidth='1032' WindowHeight='628' ContainerType='Page' Page='0' ViewScale='1' ViewCenterX='5.1666666666667' ViewCenterY='8.015625'>
 <ShowRulers>1</ShowRulers>
 <ShowGrid>1</ShowGrid>
 <ShowPageBreaks>0</ShowPageBreaks>
@@ -9734,15 +9735,15 @@ Failed “firewall start”</Text>
 <DynamicGridEnabled>1</DynamicGridEnabled>
 <TabSplitterPos>0.33</TabSplitterPos>
 </Window>
-<Window ID='1' WindowType='Stencil' WindowState='1025' WindowLeft='-196' WindowTop='-1' WindowWidth='188' WindowHeight='848' Document='C:\Program Files\Microsoft Office\Visio10\1033\Solutions\Visio Extras\Backgrounds (US units).vss' ParentWindow='0'>
+<Window ID='1' WindowType='Stencil' WindowState='1025' WindowLeft='-196' WindowTop='-1' WindowWidth='188' WindowHeight='592' Document='C:\Program Files\Microsoft Office\Visio10\1033\Solutions\Visio Extras\Backgrounds (US units).vss' ParentWindow='0'>
 <StencilGroup>10</StencilGroup>
 <StencilGroupPos>0</StencilGroupPos>
 </Window>
-<Window ID='2' WindowType='Stencil' WindowState='1025' WindowLeft='-196' WindowTop='-1' WindowWidth='188' WindowHeight='848' Document='C:\Program Files\Microsoft Office\Visio10\1033\Solutions\Visio Extras\Borders and Titles (US units).vss' ParentWindow='0'>
+<Window ID='2' WindowType='Stencil' WindowState='1025' WindowLeft='-196' WindowTop='-1' WindowWidth='188' WindowHeight='592' Document='C:\Program Files\Microsoft Office\Visio10\1033\Solutions\Visio Extras\Borders and Titles (US units).vss' ParentWindow='0'>
 <StencilGroup>10</StencilGroup>
 <StencilGroupPos>1</StencilGroupPos>
 </Window>
-<Window ID='3' WindowType='Stencil' WindowState='67109889' WindowLeft='-196' WindowTop='-1' WindowWidth='188' WindowHeight='848' Document='C:\Program Files\Microsoft Office\Visio10\1033\Solutions\Flowchart\Data Flow Diagram Shapes (US units).vss' ParentWindow='0'>
+<Window ID='3' WindowType='Stencil' WindowState='67109889' WindowLeft='-196' WindowTop='-1' WindowWidth='188' WindowHeight='592' Document='C:\Program Files\Microsoft Office\Visio10\1033\Solutions\Flowchart\Data Flow Diagram Shapes (US units).vss' ParentWindow='0'>
 <StencilGroup>10</StencilGroup>
 <StencilGroupPos>2</StencilGroupPos>
 </Window>
diff --git a/Shorewall-docs2/images/staticnat.png b/Shorewall-docs2/images/staticnat.png
index bd566608ebaeb121fefc242822db989eccab27c0..613259e9c62c4c529f040d4b5415497ebd9350ac 100644
GIT binary patch
literal 8036
zcmeHsXHZk$yKWK)B`|{YDp5c{ssTiLKuS=WlmMYA1SC?WNXO7bgh&D+y*DYLcPWaL
zfYKodf`Ig@fOLe*@BYs@_rv|qoR8<rSu=a~JZtv*ylcPfZL?Oip}sbR3jzQDAUX&Q
zBLDzMx_odn6qhr(>sP5SUqCM-ZFNBT0MFVbpnRgHrv?C2#nGKT247;RJ;F#200_7V
z0AM2kfRoE9>?#1@BLx7gKLP+0k^umAkM!n;N&o-_z);sj^B)dMN=8OT78Vu`4h|k3
z9w-zlARr(mC3W}iT_q(YI2?{ZAPfx+Ei5b^KYonCV0?Uhf`fx2BO`G*Tw-D(-~y15
zk&%;=Q&3P)U0q#YU*Fu^+}76C(b3V}-90ccFfuYiCX=V8rhfeRad81yUS8hb-rn8a
zJvcbHxWxZE{?`Kka~238Qpp1V+~0IG)J*(rwlZRJYZ{+nF{v*j#tKwAttZ4G#lF@R
zvll=`cAZx-YS;+0l0aaH3$69?Xsnh!<K%-k_YhD;4at0FNuWPo4GIM>stI`D-LkdF
z4w>vp#aEQG=spBWmV0Yj?5cKAod2NnNoRX^b8<xx0IjfiXzF0oG8i<Nb{wxDpDL#9
zT@iLac+tN=%@JS>mtZNncd+U61>u}Z8?RRn5*W6_C!M92){9B@<uJ!Dfo(*;aIw~e
zj3;SZynX*5&g)sT2vB)&l2gnbqT|aioiT4TQ3Tp2Cj3CJ(Bov;uV^m2JhcVEhTea%
zLGS-24OZM59Aqt7R#r7#(Jhc7-4gu-aBh@!xXWJx(uWsUytU!B5#%xhS$t+3UN(Wh
z1Wlsvn;EW}Qf0e6LKrx4NGc6haVgXI73&FvHlYvA2;uw@?-E9JDAry-xne;hVB>A-
zKuhv~CNf<`{G=?`3vrtxC5pz3v>U}Q|9&)1;aBD*pKmq)S~Pq7*zJ*(2&>88{Z3UR
zFtmBEwd+7nG@P<1;Z4b>_J}yn&z#A#XZhHtc)crqUy~{=HP#+kU0qBxf{`7DNpO3j
z&vQ4aggUO`E%947buMz%ROZu8d101Zv`}Z)C`+5mkI@ewT{pWk4}x)!xSPcq$rLHv
zc(8=d(=R^$GqjXX;1O?utsIT?WC;)Dsriz*A>dxKg9VUQN!ZVy9~vG?IqKUyw$g%~
z?8ioQIe1Bne$lqE`Dkd9c3-jD<Keg!PLTp?JGXeJ^3me+TQ-8&u?M8rg$6**D~qKn
zYOmhB<6=j3Wx;<o+z={QScv69u{J?k=FO5r&rH7h^lV63OFC@d75msFpD1~x%FA%y
zgf=u_udA!Cf{!{>@;_bbl@^2)j+leaFydJ7)P#>}&DXg^pbR%c!@cjx7{RY;fT-7A
zI^|=PUQu2dfea&n{*1Id`P{h#&@PneE<#R&|37^5|0mih;3~c*tw^J>*_{-2Had?8
z5hd9&<j0P&UXtX3jNl>Fl;;A4`w2UBuI%`pxg#b#2=<WnRZW6$azQ^6{(;~-rw}0R
zqp@z6$``bJzJVL9funJtl%QL37kfj;Uv-4!WnKV_8#Z#qBRweM6*u2xHw-K=)YgEu
zZcsjvJ2Ttz51o~3sbh3W?3+zx*6QhPp(ad<O8`uP#~nm%Lvkesyp`n}ChoXO83$5P
z@@TKW**;Houkt(nVyUHokG|rt$;X&_CYVrA>;3MGm#NI#2W;y{0eBx^8X>zg#gT#=
zl2c%+;9Ep|=`q38`kB$4r=Vdh;-SY4eC-#;?an9quafn<y`~Abrg!$CqIDV9HW=WW
z@i)3UiD8eJoie#G>atJ+*)1M#v!|1pQm{nb74maApkIhGBBpOCHh@%O7V5dS5KZGz
zp08KH(fH%1o-1(tx0_+3YnH+=dm3+U$-p)D9}giUWNRNNgHy}t;OS`g)n)4~F!@`b
zX1>RUq}@|}DyS=UucFp5XQ{nVZ^D|hz@`W00Jm(dyYYr#0v)Ex(~AFbTVJ78YaQZD
zA(ekalb=W%=Xj6G|3<68%@bYYP-3nt7k&IPBH5;2hc915ictqx46lx(NK>xSPno%z
zc(8LV;62i8s;pI+gI8Rs*Lhqh0Qw&H_g?vRO@51SPZxaVMzb5AQD{yVUyOgOjtd7O
zAZ@`NVbynder-7plYaM_r6uTB?>bUo^02k=u=-E0nQ%8F{2)`G*&40J+J;z$a=<Im
z?Zc;aX*!HdoXsi^MOkFEt23#UI%~tE`%3m3O=g&f5YrN=cL*;RQ1fBu1GaE|pUDSc
zNBPOc4MEkd->x*7AXtP6|636#KaH|R;(rgK)GxSSf<t<bUIm^<U3l>_gFJ<cv-r%`
zz=JCx{B>9s{HG}UkC2<%%}!`|Z=eJU9>C^Q_LCAV)*D!UXbeBsYawHH6QD1SyY?z4
z^X~4T4)MEJd}v6#5iQ!RDrzbql_@ESn3bthp>+1C)5G5Bz-a3?(%QSOA_gG}YxIYW
z)4vyU4aTV3#ED{a9|NtRwkuRM%&jc-$X_w81}r-IZJ!mLc7AGCc~%;PosCb4gq@n~
z1(y^Wc!X87E>S3ug2T+h+5dR1+ho1fa6B1<C++Cxlm^!n>|yu(Z8uU-zr|M1+ohFS
zOqPc%8Urgu_7_Cij{pY!@Bka6$K2m2IX^S6)3+!c_h&D;Bh%<IQ<w#1^k1^Om)hOm
zIIb7ewQfajGf%(i;xWyt9FA<Gp8QkXJ1`{J$X+oaBuGe6naTMg3vs=65!4Ad&i)kG
ze|%fIxi!H}LgQi9m|o<%_1Y1Mc{aAQLSy3BsMcS8BfoIr84(wK;RgNks#`&GROPl$
zta#NtcUa%^K={Usw6ElbjM$qUiML<0J~X(XKgkz_jS4m9u}Ma9H<o|%_vr-q7oP0(
z1ysmmgYY@y21a9kd7O@h^$-+puf%^SS2zp(WQ}22T4?NchA!0I`&0#&uoT6QST{DF
zE)!DA)|?nf@F_G91Ke#69$`vZW1d8BODgyEXw%~Z3P+(?k5GK;YyqDk+)?%web3&F
zPHC`#8Cv+iVLPK(n+!93zM~rp8rybS(5f!>&8jbc(ik1;OmqbQG<cb|&8&+j=Y1_S
zI2kY-P25p=780Nmn$ivGEuoI0qNSqclJQfB&e~93npiH(D#>m#;iHf53p4f_(b1yF
z+-uyTC-`IaK`=G1Q6WhDsZ5Yf%*k7JAFtuT!*9Vx46M3`v{~L%lTd{7tIZ-p`vymR
z)q5hQHT+32yxw>+(d}nQHmszG{=weIw%j5dUC>}{8GUEU;`8eaeXzxCjwibBfEeZP
z@9BC}AaKttCz+BWsA8}Y)W@v*G{X1&f|^5e`B}^!(%Eu?(0=xz#G6t;Wv|0_uPjU(
zqkN<9WzA5@S5DOE>l1iZtlcWw;pOUi$dash4vqiC?qM`tA>1y@d}y(S{-kqj?La4V
z%$oBTbFA)fKTKZ({5+?oBz=9+5kHmbtEPfEzt<Dro%QU&C+Q;c@2&mSBMSq*dT6og
z>PRy447H;{;>fBs?QVr}++Lcwvl+i$*0=Pu6y5zbi=0`lHtz}p$hLP@W<;z@9N1HJ
z^du%Fx$bYCqbg$VNEb>}`t$V}c}iO$(vhSTJA2)9{+#{pV!w`1Q|IE#vkT-z(aQ~}
zD-$}+@-SNC`vI-u#H!3p(VeDQAu9RNBD#a(iVej8qBx?J(Xd-aw3OK{T&LhxB?0~i
zsCG?hJKMDgLfn+ibN?Of?hrg#B>K8Uz?v-dRF1p8&fw_aYq^p0oH}+a_-FSg=JIJF
zr5ut`kwN19Ykzb^4zdkqBvytTGJVUA5cIf3Ax*VDw4IHQMLNd+SrqfxvS+A(%G|<&
z)muOba(0f>wmcIPhR(b;7JbW9$o4gJMUUc}c*O_WxUpa(oOEz=2Bf6zyHKLiYJyu}
z`z5t#w0Ahqi=!y#td@R4hEJLER@xrXD!ApQ8mbEE?Aq2uEC;9WmvBiO6<s`Q?c*oK
zi~}at8<vd&ni`XJ@Z^58+b8IXl00k>>n(vw^RiOOMk23bIh6m;TG=uOQ(p*_@8UzM
z`d7LPwQd)IvA;btWCB64x&Fie*pxNVjEpB#FyjfpqY@kVf#9+2!Pw@5uk&AyS@17@
zxV~}WSDY{SRYlccUfKgOW2>9x@z=nMMqc{~1IqK8_Apx0+==PC>`Z{1g5+kW_nHGr
z#f1Jig-XJ+!5WS#GRcL_RFzjIjxO$A>-5VPKYk(O25#2IL~u&id?f_0@!ckKc}486
zpP&9J$4#C{zjIcOUOHvLd9$Zsy^~Bw<iY3>ziI9U*2Sy##O)Ef%)Qz4tcOz&BXw`J
z$M?}IPy#Pd1j>$r+$Pe2>%~4e<vT4_U)^KESqWD<OltCL@+aYvlR8oC5EqN*(RJ4}
z_-CrzAvBE>Z%y=RQ-vb!gY7BNw$GWItyNQb%HNuAs4XKbLTC`w!3{MC_@kVU?;O~1
zEI6w>b^;m=hBkCHF<P&+BzRyjZ3&id)tjf7{7zI7!6Mnxj!1o*xIHaMUY97%_kxh}
zcN*o~L`e*|y7QvFzq#AF^aNu&;`My4oUead$PCsY8jq?=?gN|dyR2CYKu7JXOEf{A
zDc|N~_rFMd6K%lqB>hpensje3&@qCy0go{PhZM(;tB~I#o)0ja>O|MIrF6o+M}&ZM
zR(kLD7k_Fxj**@c_^=W^5MQo*rh=!Zzu>^1&DZF-fsZj&$T`iA$%S@F5{OH|8U$57
zghA**#@y4sgWiU$i4&13<kmN+WM2GKI)pS)G_BdA#e%JaiYE&6>FCGj5|qD8fTK;;
zxWR)evpwi$@(rkkQFo%TLXpe})nwHAt)IcWv<R>f!308E!=HjA#!d~y+r7rjJaH*6
z=_-@-d%YPdP}toOB2TKdCw7aQHgfO|+mE{pJ~V5PC^3W7_r?g2OLR-a>~%LN5p`la
z4E9+}qudcHr!&Kd2eco!FmLw~B6oUSv$WlQ-VJ!eGfq+=nYgnjZ~j8!qkB;O>Q!<&
z&zDJ|T7~y^)9i^EIg?=#iBVg#-v$O4(J;3`xe9*8^?a97lrrkgx*|TqR&&|aca_H$
z!sI<jYM>bL*gR5b_hFSKR&Mx)*Rn-OKrP#7%;7KVVFOFw+r>(tR;Avb{jgobpcInW
zaX;7Oxlz}{CO3{JZ28aK8=Ch97TjP9X5qDnbw+<%exm;{5)qa>HUl~h)xAxA8ZvKK
zUfk-m>A@Xj*ls-4JsIan6kqycPdsopMO#vH9lsHRJ=w-2BM*VUF<Zg2(&oQM)l`M|
z2D!Mh6%o}<Pwjlz?I7}T6ikkCxIwIOY9k<@SNbFEsDjZ)+1qdA?noA!m-0q#DBK=3
zUNFCPtejDx6HBvs*o~SHo)uo&&VIEISPHRm4mhk+P`tB^;=0E^X%r%jI6buYMKa4T
zJZ8b$07}$zo5O91gb-8Mt)5?Zh&F27OTy6LNivDYmomkvtga^B_AoS$jyq}6Qu5-!
z+!^VvSY38rd)IpNdV>$?jTHk+J+H~fBJcnM^$0`vFNzeCGS<&|-``f<0l()Kp)ijX
z)C|Ftjq_=Zkyv8K<)|n>%FPtwW<YjS%czXM>i7*ZM@Ff_0u&s4)@Qx}=PlazN^U*G
zVXa_EfnVuF+sgy`LwVkNOi0lo;ym852y!)Ppgy<so>eN@i3%0<x7m;RCbsGECq&mB
z6pxPzoV@d!+baa_(%BR5;nHPf`F?ITrhSp2$_xygT~;d8YNlJh3#CrTbjm-K@@tKc
zuDg=NCk<7#JKl+`LhhiFR%f-vRd4cFT*@KJSjEKu3PiT=FQ|GKo?ph)XsQ;;%8vLx
z7Q3$c%I=Hti_lpEFs0F_qYP*um)4YAc9(6e6Z$j;mhPJ78f5bqSGW(Um6Kkw#Oc!J
zISEirBmbTd*t(U~3YnevvkAqIgIWd13NW?j?f?!2#kI#)u<tizsw6Q7Qojx?mFvg(
zPS-zUt%OOc7fTg>V|0=a<W7<J-pi!+`rAx}t$F3_rY(oFweUv<;M$L`M6Q&t#A_hW
z9Lj)6@Zz20ek*Y<c_ABL+WtfqnVHrUJ5+esH&i1wJt6x;#PWSe>h=%aVFc(|`;cnf
zgK-NB<eh@FjC={2`&S{e3}{#tIr7Gq&U@kCCzduW7L)HxmXXDJZuU!bVSN8r>F5<w
zAmM5f2x=ou^c#fLz<=zPfr};0%`v1+OFd^&eWciTD*xUGMwK^T2&bZ5_c}&MFx3XG
zVo93Gj|C2Nh|2f-F>qu)R>(o-m)Slzx;CH%g+B=^=(v*dLX;HVi4w=hCag_*<%5~_
zk@Hu2srufTZ=_>;(lcJq30yW275mWZ3YPqq)-e?XkS9*dh7^y|GKLRC-wruR#<Y(1
zeMU(@NJrVrC@C(+yR30$(av}}>HrQjksPOSWT7mA5qhGnyP=LRVqWOoJEOWNiK92#
z5DazMed$@k<2CN0$By@63gXXEw7<XnjbTyEj@XOekkzmwdZDMIPONmI^WAZq0wcJt
zenxzZ=DTGusJdqfT1A%8PU}RiGzGoVYL@fb;PJ<sZzvt#m8V=xpPmtvF*6$SK6HGo
zMFp;^^8m^Vsr}am<r37?T*R&513E+2>Ry6iJzw`_B<`)bvmu_zIfJ?4)G$j_gz)Eb
zpAm9wa`)g8Y!<2PG?$ruTOPL5MwZ9C_z#UDRph4YH6qrRwix_Rra~vQA)_VTKfmOi
zG-RctHae3g!o|tbN$vnIrc?gc!raC$38}!B6!JUG4Es&-OgghAglKR3XVR35c7y`|
zQ0!%~%;dkUX<j4ej5u%iWwN}{CAjBk+>A|U&ia48MaqWOvq?Z#1Xd+-n&QI>Kgb!&
zz=U5BBk4%;w9OBk%JZ|=w)>|`2u#k9UBfE!mgIveVnnuK5#6Q6`81WkCm#>29gcn?
zLx2_MrMBDAw#5^Ssf!nPEXGf1MVK!v{O9WCyLQT7zA{yOKE=AY_@Rnj0Jc#;&G7cs
z$TZ65NSSha5t0{X%T0Qrb#bmMwCA8&3U@RhJNA59OW#6NA>}^Z0MEgZ1cRs-FA5Wm
z!}uCPrGvJd81bk6#Cdz78`OGP*0BEAUJwzo^WGPy1S4f-Wf5pyG7aC+l4uj!!nF=6
zaqZNWaD~AS3!J_H`Se=9=$!L~7go)o0|T4a3llZGbJ>3cD6{l%@}b!n(cgfJ?QUBq
zYlr#<x&4F<tF~TEZUsdt@znU?SJhe_7efOIk_*1c{AmRngCXat=UlXCN%H!PYq%-p
zLEXx%Q!<g`4NUvML<&_VONkJO=9+veXl$Qh@=4C-hCZL7Q+`Zj*4G8M2Z3FF?^;%V
z3f~Xsq0Qg9*A2g+^Li~d5;TT-q2O-}|2UzrI|n@#WjuE|Ca%`)LaWc8gM9iXQwA5=
zupG9`u6#Yi@B=&I_duAGlG{1+BG=i;<G)Pmw_VRR@x8>3Pv3T#C)Yw_*_?6Io>IyR
zf1$GPFa-;ol=&aR+!BK%p_O%wSG6AvMC#m{X{hlMz^6IvJp}(D(URhFpU5KNA-9@r
zK7jMF(>FtZ4-C{F1W%0*%fN!l_D2m}oPUMd6TegLVaz^!DCT2#{wu@seM%JC&?}iz
zniopX=d7pI{Xu5&V-?wYF-cc&xCLnua>Ppk8mUmqOS}oqi~ix>^=|+h<g#J=3rjLD
zwe{B$6-S|kTvqR-D&?7q{YzvRe!omsn8ZIbv2JEqoW$1eoM>J;n{yrdw@(^{0l`vN
z|02cy4fscHT+%DL?j-R^?MSZXa{=;tQWN%%=%7=9CdFlg)&6y<4cWdMi$uv(nA#CT
zQs@x>pj2$^&46~+e*;i5m*Kwu<+9F%EO8QRod~>_<PH-5(%q(ZrNPR3N_(o!Wf(k6
znS|<6#_Lyn%2tW}^(94_x@U0k_lIq{->-QTj=pCF9Dp`<0pG*BHETcIJfbY7c@BTt
z{Oh7%Q=6ix{U#-~{0F|<BIQ^O{(4PjN;D&Li$1@$n!?kLYtUIYq@F7aZmg}NQL7t>
zDOBIuoD=mvfm*&m!l%xETH+;A=PdZ^icajq$L!ZvR`jF7O550QwX&XdHzNSF%n?|t
znh<B+%q0*#!$>t<U*U6gFie|k(JAel3UMfc5n8N#3kr~|OI4v<q#?OjVShiDQgG25
z`eEmXKPUzIzsWb_PBAm=<(W+3ACE#ZFWVUA$vif|Yso8KtHY*KVQ59a{BZ6lhiWHj
zfINW+VrIR71@=1Ju|C?DuKxZjeR+k1jfS0Xa5&yQy}bB2CGFcTQE#7DZX?b!+~^7C
z47%IV7~W*^!0zYa{8m|F#>UnD&A}K)P64RxcNtF{0E}iljZtvmo0q*FQB&gx2VZ^C
zqHYXo`h|Thv<H>V!_1grFAHkuW@JBwA}0vOf=J;HM?7CqcX%^xF_%-4AP;+s_LY#!
z@yVAg`f^*UswVrMSyDV^W?~H@KAG{wfMyX@R5~|X+2ht0pM5;1l{vt^a9dwHVcGpy
zEiU+@9*wtZ7}koH5vs}2e*84cR+Tc}p=}}!xj(vNr}vxJ+4}pNjFrlvaU!rukNGSG
z*_`l;dRyMyfm8j#^OfBRNmUQG4%(;13G=-9A&gzqSB~pc#VY7iEB>$rry=)hHzvZZ
zHV!JrC<me6(|&*#?_ZuVD;k6+j1#l?CsJjGNzgO1a4Xl5u<&$<E?$IiiV_d&Yuv2?
z9MS*$Gk?*BoE-n`<a>+jcq-VJ0Hu<!$+@PckXoBJS?jl{AX`Dv)Rj+5l3MkZy9^zA
z(#!)^{D&AN-AE8D*2-7X6uvF7E5!;SNqNq+ngE+VkUpCTLqC&z4voNz+c%;hd<Nxp
z7=^moErWxo!UWiq9gvd({qQldL1~bV&cVXm72}!U*%jm^Y=%{`ec$%rp%wA9d%^zv
zGZ<gyO70xpq9KzX3uoxpFB3IR^NA_o>H%p;^+0(>(1NGcmEAt#-KBAP#WeM_>1+C$
z<;<D>4^5HIk;|ohYR})(3g>H=A7oX;bTB<m$)G1e>T>Te1@nLEf(~+qmOb2)Jif;o
z*h`!@VQ(rvNdN5po1`gZd7L!C9;!4vRAhX&WZeOGXgtG#Pv7KTEPh|SF5RFGEb)}8
zZ7$XeQAv9$iGJqetjT8q5{L_1&dRNO%KLd7Xpz{YjKf7gE7l6TK8N&v$^5m`RWvj1
z{76kyGD;B0c6}{Z^OrKon9$JDBiO`}&#7-B#c)eOfw;;EO5qRec!EclrOPlWP0L%G
zL*k<nm`NSF1-b9ULa*kLCnA6FU}6GHUYDxHV;nZ5hy=Zd@0ThbjWI#-==#`+lWS<5
zDUfqwue~_JrUmt5RdIA`kw}K<2m(PmZ9&m8+}GB`Ius@UTJUH6F3JU~-`PtotAkcJ
zNw`~ZyZce>s>sE+F-ZjOOwg0x$c<6oaS>A&L{RCVESK@_1J+h_OzWlYG;8Hy+Ey=m
zsjwLtbgMVYf_FS#Y)qM9O>g;CNYpY;@ac%Z)oK&24CkV?Ee<lSwgB#S#`GBLOH@(y
z(y$^l-ox3v5pd`qfHe^2osfSf%fyIx&VM&2dwKFE?3^k9oj{0xaz5v4kMq<DU`Rmz
QbHS*isjpG4{wVDK00{yAB>(^b

literal 6422
zcmeHL_fwPIwtf?OU_^R{myQU6p$P;CJ@g_)stOV5C`F`)rXolJQa+IK0Rd?drG5!T
z1%V(S(xnI@kuH(Y1Qf1k?tgG+&dj+pXV0wJ^E|WHer7*w&-!7d*;<>z1YrOGz|2ra
z_5c7O|A{Bebbpxg4GyM18zju$)Bt$#L3sTSpueqer4InFu&lpsGW@}yH_F}$0HS38
z0Fwd$$A2iy8UREn1Hi@&0MPmi0Ql|{k?arvKnK`bIvD>sz|YSQf}oU?l(Mq&l`B^e
z2m}&|M4?c&wzfBK-i(Ndh>MF$O-;?s%>~YYva+(u%F4#ZMiPnC)z#J4*Z1MWhuPWL
zg@uK)Ghk(9g+`+t92}he0sme9b>KhVfw$trj{$%u&CE#O;lAhh;&f6iDLZxDO3b>B
zb*|M9;fAH26?)_Y5IZhQ%QtV^^0>rnQg)up^Q~s|iuB8H%c<{h-+!cy490T+QpjMV
z#3u;G7<7};;Kt95#9)n){!Rzkfme&0*bVcB{P)7zHUX$pPY5(hzLvC*Ke_uZzcDVv
zFQ;75+$6H$-A0ST<~g*!GGy$k^+QVUZ}&&j%}S`&UMSAMLSJ;y&~M{w$onO69L2iA
zX|hnHiKx-P*)`jw<iS3<9Y{|Sc}!=#@F3VDdYDAtUp3>n6;g2$bXV@mwYs}-7ys%`
zIyBzNd0u*B$4+!R!bQ~o-mnF+jy;uF0d9KPK>kUdLnYBw)UKrz9ZMZPE151yuEPXY
zr-d(ZgWidOtjiY_qCL)6t1yg-F!fa&gl(8OL%OI2c#I}*evIQ7@{#281&wVh&0uM1
z4qVYXIuL?J;QG?&@psD0tfG9^<%VtZCiMmgnLUmk*e^9Bx#6oun${_;7Liq7<Rb?r
zsT%RG*o>l!7S*(21Xwm>ap;8NYnbjW%iG-XgT;{9#6XKspW*Tz38Ky0T>TP?by*i1
zHe+Jy!P^f7(T#5<+wTu%Uf2-R#%Yj3iMC#Yk}T-)-lar724_YW$3O~RTo|lKMC{^H
zSEKP!?2TV9n0doIw)r4sEc|6sU+mbJY@kuOSKOUR;eU60Ft!_o1#xS2Ldd@0g}v{Y
z!)5i=k(>Hslt!IHmB9d_p8em5mIw`8rDa6S#zPf)nsxGgo=k?TO;3Og*nR=6_*oX&
zM;8@xui3~s3}RZ)OGWL3IX)g=zk7q7P&cN~u_JB$CJN25-F@`4>)I0Qyn^qern$xS
zQekJJU+`YuT}~7v_Lu`jp6~(SYKh2ibZAig>N5y=f*zX7j!R6j3}OVYaxpvTA{ja1
zEdm%zE70}`5cszx6o@hSoen9q976`r>~IM|nUsd4U(U$e<Zf=HPvX+9IY3zz^tlNE
zo8J70k_KpDu%?#)&gI6>4o={R_`u~FKvqzW^<=^Pa_>=40Hkgz3pI_NN=LhI5e_eX
z59g`2xoy9R4ak3?C-6DbN(gNKPC{Fhae3oEbC3wTdr!9N!FJ}+nSz8u9i^Yqb#APq
zPBqajdUoN_ZinDTWO_Q12c&lFGY42bb0VKcY0r9@SpTeE8_qop2pCieQ8sEHwk7!>
z$8s9EtgJfF7t2nKcAw34jN7&^e_rqs(PM9{@m1k;a`$U(E<11Px*Wzg<Nqj<uzrt!
z>`4VlQLTn&iyprPf2X~(FKbZWKD^o?>DaNnsz2qUt+OwdbVWuwbHI&ZROaKXhWW$U
z<axEmu#dg}e7jRl9tzTIYi&<^v%9MA>X6BFU>MOk8yGgQs$udbt};-*@(odC(h%87
z65<Y-yKQaK*89~L+xA5c5_+d0t~Xi0_!D(<D$(aJz9znF0owUVTlY3LZA6i?boej)
zQB2=T5vPrM*sW!J2D(brOxyk7#ANeQ)vz2&5GR~GBiT#kUj6bid@AUgkVP=2Sqrfa
z<DtA@B~)}SFbD?m1dS_~<(}AVct$kne7|i9#w2H<pm<2l?6}X!#?{~3kNQr+*>&#K
zJq?`F6@F|jQv&z@ZY=|Pe-J0iVYW0pWpxz?hlS*5*1r$)s^UoeZ}4jyPh@heMt0zV
zyu)lEh3$XJsa`RIT42V>*B@j(&-Td?R`pAJo~;v@HaNP)s>rGZUz%Uf4SszPzidyc
z`Pj}izFQb)H8~<F`U54HQ5)ca-T#?_$Zku|v%(jI4|5%-d;XmxGxu3xXyd!?XUf5_
zXV;UrT%dP#;TsvG%y}J?EI`0;l3pDGPh7kFn4ZjEEAx^C$6|!FlS1~{swG-sEWzju
z2?+c_ElVI24ITC7X2D%{u)4toay=5QKw&b<{Grc)0^}aQF%-?_$n}YyOkdtF$N7Jh
zIF%zO{JIV$RPY{EfM)``BS#g`7$0HqDOt437Q@!y$C(Zk7#;jbg`)3UJ-tRxmTG*c
z#0~ZY6uy%{%4F%pmH`5u<5Ij3c-qzyD+BpQq0B30oEe(^x*YPsv}&3$#!@2YrvU`s
zQDvq8MRU&d@WF6PYF1tx|8FJ!SawE~vD5Y{(}Tgw%hN3B&=O0Ae5|-K9xF6E$i*T?
zx`sg;r|%EGJeB?7H#<_&`ZH!<E`g20nym|y=xKh<5Xx;BB&%?G8uQJ(zT>#-h5qH{
z5wFrkXB*loQdgV>*QJ|vr4u4^vn9+d-f((a#64k1GUf(tUdK$6iTuub#W8j@$~&JP
zrNnVnX8S=kTeimt#zAS`An<qA$6EayOay2u1%X#$qjCx7W)h1?_#2*4vcw?lR_O~W
zXRl=L9Ka5Cc1Y-dExSFj&Zt;(4jg{QGC|+MW>4wU8MC~gl`oXcUDfF=(ah*)dp9He
z4kJz-fyt<drmtfMbBlMnx1VI9ox7Tw_CNZ|Jk~l<rugU!c5%3lM_LAp;`P_)LUYC7
zXE3svstEBmwZ<f4bk%Kf=lO`mj3{}OD?;oZifK*I)mbzCGl)9L8ai+CP-O&}NwPk<
znl<v962q&`Ja%d<FN7Wm*eZs5iZC|8LgU2zf;jN0Zy6}S{o@+);ji`G>{h0+)0eN$
zKE9`!6yIhGz7jgI)9+R~c%s89#4w{YJnS6<&4xto=CrUhwH}jHcTQDImm^g^`H0x-
zIO=h`c*qi6a8s@yRL-8gbK?qyjP<&7J?%TK_lNJ?PthQCU*-PR)ymt|dfes9k}BF$
z?oUmdVxz%O9@^KJNt;zjm~@%nO6t>6s@&|MG5@$aiIG-(zp*|CmdO2i)kTN+3sygL
z!4$pgX|c$S+7TCPi^;k-FQ<xLjiq?%C44u?YUYDE{XGV&T^od}4r~?M(L>3RW%s3F
z1bm^Vr@(~tw8Tf(jdeq~6nS#3sqk?$j*U4~hgSc*YFjF*;QOwjGvB<0RZ*ypS_I!?
zP`y+HeIsZyT!>x(>MaRQOMNKZ*q}VUsSL$G{j|fG+ARk<Pm-M-XCh&sun8malHZi$
zT)vc{mlW>eRi9gvan`imqrUsq?dmtDoEC3OiGAML=cX)e?{&|nxVXhZXlc+nh-MmL
zSQ}f^_jQ2te`y^AEuulw<5=G}PDA$Rhu=*8!<#bZ0e32v-zH8^bx%88XUE3sI47FM
z_xHqFB$^(}=lLBMtTQ3tSDmPN5mm(tLOA{wp8)~U0%_he^I^=py`JlRdzwCs+Ny8=
zZVB-`75%+-siP>qK4>6T`}MR|+mt+gRQD(DGlJeRD|S=&AnDDqaxe>JP?}VrMtd$w
zG|6y-9tA(p>pI&T$3}R~bCSXIm4M!Vq;U{LXeU3Uv46y{Y%iJmP3>C5H$wlpAJ0Sw
zjfccnosh@=N2O;!WyPL^bOnx|$&+87<|=02;-MqoBHhYo1)B^T>kR;+W!qLL1bq*c
z=g17^ujhGO!VH}oXoNxVYxgwYV>e%k4l4w>O*F*~qOZwBXSf3wYMppqmkid*A0!W*
zjAeHy2GtjeSI~hoVs!@pIMDAngl9(1@$r(wT-d;NHlV;A5_4<y+IH{TS(?AEd9&ih
zLCM2!H-C^X8PcA=ln1c*N3*`ZgkDIbjIXElN>a7sbt)bC5*@P2`9|ZEf1*Q?`N+1U
zB5tc~O>*3jA~=-9eFZ3B67P5I_(6U<{Us~YU&d0Mi6)md0V@Owa5(SLFi;7;`?4w>
zSg-c!Mu&lZZ=yS?QRhM@QbieNCR}aAW9vd_jLF3*Keozc!AR}it9joF;tShgjk^|*
znLGks^#VLfu$FNpOOltbx4D}RbY>2E@g88o)j0vLjobWV4ZlG+!CeO+4qf8j5x{_3
z$o^IU0e2~1JuYJQ@)Sn?JX@BJ>I%WPp`&~NGJ<%28U}Vs530~1R|b09oq%;kml6R0
zZgXj&1&Rt8pbY`IsL-7kJjiH^yxWYJp{MDQ1Ypdq5upP7`z7iDG$zF2I4><FW0&dZ
zhZT0bp;CpqukB&luoB~T^x&v(`t;!Jz)a1qH0pAgIuxhGeTU&FrGfgbpZYVR2_!Ip
zdJIPo*{U;WwTs}DxbIxUi&JcrtYC^sjVd3q%YVSS`}8L8PT#Yn)4%+A+mloV{`OC7
zI3<0O+)00BK$v;+J2A*urA<LJrBp9LbX4nds5w3El5HNoAW5oHtoNQ5CFjrQM1~Hi
zRBW-K_$&~gqGA9%s`;r>2P_&Pv_)37OH%0kSK1y2IpJ*jIkxNMaIQ+d6#Rh<s9{rL
zRAr;F8~0vfVGju37`g6niAkD_emPFc81k$<!d6}v5Ei6#AME*yUI6>q&y;5d87TeO
z*Y}%xA~33U;XmHbNqvD*U`S458aZjX&c#X%;%HF!>$z^IBrDYI09Dmr7Qx(L8M1{}
z&5UZ<u8Lfgh7andlZdt!;ciSvPVTNUa%+02pJt|$s5Am!n_9@%mZ?&vBW3rJXYpFn
z(Q`g4T=cH0Oyq%IJ(jkfBj!b%M9aXT9Jx0b?;bFMzbSKhd8U8QZEqgN=xcQEX5uhW
zuiwc&ct*0Vo4l?GjG0ya;)0-0Gm89~an|r}rOe>&ZHj{-COrGXnGsN+C;43PPuH|O
zl7*6g320892aD0~^*E3#BjlO~z`E4c(=-5{U}CLCkCH8*+0f&TR6=XTky-;e2@;s0
z(yXg6$bY&-nZEA!(rWWebMdfJ^7z$LWceE~eXeI`b!53^hi75O>0IY8-Q?W3uxA|c
zpSf0e+!@C(0*PDex_V22ZgfP;H#P`yEpnR>Cu<~z!het^3!rl{BMVGFB!%y#G+<&$
zzhA{B0*Fwym%ElC=%HA(MS22^pC7OGMPOqzES8@P#p`$$u@jUuJjLkQ&W*9TwA*b~
z>;EQ_-(JT}#P#qXLXiU?UyK18ZbIL-*hiv=AD?!fnIK}$u)fVA30Y2V)<SW)nsV^Q
zp{dzAWa*OgboflXHa2$Gm>oDeN6C==^x_762K$(xH_xmo?GROljdhoc;dK3sSZW8`
zwPxsi_p-L*D6BR=<;gQdMPxK4cAMogk~ekIwCj3cZxW^j{1H8I+|5;viB<oNG1a}7
zF_n8*F{P9&jCEZk@JKZ4rc90Q^<2j5?33@t=VSR6M{X}=1&b2jaRKnz=VGlFuLY=&
zxWrRfE+3PnVe*fQ)-yuy2#bsw&W7O@gKXDTvGz1>v;p>4X!2u;+gcUrde_eB{RYT3
zh59C<n%|!;p4rcv#_h}2-ujC#4*kG3&mqllGm=T*uXu%}J@paB6I6d{TH9FtMSbhC
zh%vKr?4F;wK%%>rzoNX><D<oyBZ4#u8He{qvCf!gkDrcSH>d_^H>EFyqFCD+B@?;~
z!F48N{CU^?Chrg%=B_CimeLi@LLNbgqkVIUPcgBy7{cpG(_<{J9*f^w{jTHRu9)zj
zh(?%*E8jWNvEIG?6Cv)>SHEFnmskk2er^10BaZhUEQMF&)NnfT_4=!s>$aX+32yvj
z0Q_-6!b_tzWjqA!3GzK`UIRt=WXj0}AJ)9ELr{uri~xQdVLmW}DVp(k7qTeq`s~O1
z^Tr>-P3V%s+5Ft*tR+R-?FI&s@tl9|f*lv=rS7KNcFb?^{0ow)LJVYTfM}%=CPQNL
z@ClT1sD`zdK$>LjpO`>sCxxaLIKT?>aa;v(6gNyg+_bU?nzLKyJ1PEMCGxp|a2Z(z
zxJ<fl5ETaB8xR}nNzJzsR^P2Jl(_@6J2|vW$B0IlE|s7$?QynpuUdW>(<66>0E4(}
zQ``J8ZAuC_E0=Ka*;iF_jfM(6^3y3V=c$KZKMDm|v}-!vid=SbiU^wIRi#Fl&AyU-
ziJES-Gb^lZl$z&j7ex<yj_y6ywfiVUDLapY#hkwC5Nzrn^S8EgJm?iQ-#GU|IyUrU
zLIR1ET&x<WSy}Od>J+o67Q}8J@{o~OCwSrb?-pguMm99ad9oEDeC&ngyxTsj>u04G
z>9SXiKdX6AtqyaS#O-%Ax4+WtjMd48CQf-x6jjTL`rmE0o?|zS63&Clm;Ed^rfQNs
z9M5&E=I$}f5cAcgf*e9K{4cZ6uSv>&y@+CQvKBRyoR92!$&Xi;mBl$O=5{MOCKmjy
zzMpC)=4YW(_tgu>>8hsHaX@aZ9opmL*Jhx{rx4;Nj)f_n9jPnwO4v#;g699kq%?J^
zRk(v!>IoET-$#q7n(?=AW>M1GcgA*%S}1a*bX#66@%x9HlGgK$$Uh}ig6Zf8Fw<jk
zHr<guuJ}S5It4>uC`o)0cf;rWobAtd?p{F2w`i*1(_Ii_v_nB4{AHNbbv#i?ETnL}
zVN~_f{TeKsgSzn8jUU@F*nKWW$^*XcInWGHtYxw7_7C2Ppp1Qya09yRGft88@Ex}e
zC~oIsD(5dA0F^M@I0V7Dc<nTBBaZ{}Ze^Y^SqL<mmdxzd{cCb;W^8Tr!r(^I{{X~u
Bnic>6

diff --git a/Shorewall-docs2/images/staticnat.vdx b/Shorewall-docs2/images/staticnat.vdx
index fa5fd13d4..58acb527b 100755
--- a/Shorewall-docs2/images/staticnat.vdx
+++ b/Shorewall-docs2/images/staticnat.vdx
@@ -1,5 +1,5 @@
 <?xml version='1.0' encoding='utf-8' ?>
-<?integrity app='Visio' version='10.0' buildnum='525' metric='0' key='8304FE69A61D08A763FD6619623C85F5C076B0E2071980A455438645CA77E8DD47572760271A01B18A32698740A889822FF34E46327EB6FC4784CCDC500E320B' keystart='261'  ?>
+<?integrity app='Visio' version='10.0' buildnum='2514' metric='0' key='E61DB5F4DA3BF7FDBEA40B7B2207B7A8484A4A97314E721612AE538BD1AE94D5DDABF89EFB1B27E6BA04B16D4245F4F515C8A323A58FE0B2CC8AB68C8C466D5A' keystart='262'  ?>
 
 <VisioDocument xmlns='urn:schemas-microsoft-com:office:visio'>
 <DocumentProperties>
@@ -8,7 +8,7 @@
 <Template>C:\Program Files\Microsoft Office\Visio10\1033\Solutions\Network\Logical Network Diagram (US units).vst</Template>
 <Company>Hewlett Packard Company</Company>
 <BuildNumberCreated>671351309</BuildNumberCreated>
-<BuildNumberEdited>671351309</BuildNumberEdited>
+<BuildNumberEdited>671353298</BuildNumberEdited>
 <PreviewPicture Size='61212'>
 AQAAAIwAAAAAAAAAAAAAAHwAAAChAAAAAAAAAAAAAAAcDAAAvQ4AACBFTUYAAAEAHO8AAAMAAAABA
 AAADwAAAGwAAAAAAAAAAAUAAAAEAABAAQAA8AAAAAAAAAAAAAAAAAAAAADiBACAqQMAVgBJAFMASQ
@@ -593,14 +593,14 @@ vLyf39/AAAAf39/f39/AAAAf39/AAAAAAAAAAAAAAAA//////////////////////////////////
 /////////////////////////////////////////////////wAAAAAAAAAAAH9/fwAAAAAAAAAAA
 AAAAHNzcwAAAH9/f39/f39/f39/f39/f39/fwAAAP////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-//////////wAAAAAAAAAAAH9/fwAAAAAAAAAAAAAAAHt7e2NjY39/f39/f39/f39/f39/f39/f39/
+//////////wAAAAAAAAAAAH9/fwAAAAAAAAAAAAAAAHt7e2NjY39/f3Nzc39/f39/f39/f39/f39/
 fwAAAP///////////////////////////////////////////////////////////////////////
 ////////////////////////////////////////////////////////////////wD///////////
 /////////////////////////////////////////////////////////////////////////////
-////////////////////////////////////////Hx8dAQED/////////////////////////////
+///////////////////////////////+3t7ePj4/Hx8dAQED/////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-////+/v79AQED////////////////////////////////////////////////////////////////
+////+/v79AQED///9ISEj////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 //////////////////////////8A/////////////////////////////////////////////////
 ///////////////
@@ -624,63 +624,63 @@ fwAAAP///////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ////////////////////////////////////////////////////8A///////////////////////
 /////////////////////////////////////////////////////////////////////////////
-////////////////////////////v7+/QEBA/////////////////////////////////////////
+////////////////////5+fn19fXv7+/QEBA/////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 //////////////////////////////////////////////////////////////////////v7+/QEB
-A////////////////////////////////////////////////////////////////////////////
+A////v7+/////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ///////////////AP////////////////////////////////////////////////////////////
-///////////////////////////////////////////////////////////////////7+/v0BAQP/
+///////////////////////////////////////////////////////////5+fn2BgYL+/v0BAQP/
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-////////////////////////////////7+/v0BAQP////////////////////////////////////
+////////////////////////////////7+/v0BAQP///wAAAP////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 //////////////////////////////////////////////////////wD/////////////////////
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////+/v79AQED///////////////////////////////////////
+/////////////////////+fn59gYGC/v79AQED///////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ///////////////////////////////////////////////////////////////////////+/v79A
-QED//////////////////////////////////////////////////////////////////////////
+QED///8AAAD//////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ////////////////8A///////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////v7+/MDAw
+/////////////////////////////////////////////////////////////n5+fYGBgv7+/MDAw
 v7+/v7+/v7+/v7+/v7+/v7+/v7+/v7+/v7+/v7+/v7+/x8fHAAAAAAAAAAAAAAAAAAAAAAAAf39/f
 39/f39/AAAAAAAAAAAAf39/f39/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAz8
-/Pv7+/v7+/v7+/v7+/v7+/v7+/v7+/v7+/j4+PQEBA///////////////////////////////////
+/Pv7+/v7+/v7+/v7+/v7+/v7+/v7+/v7+/j4+PQEBA////AAAA///////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ////////////////////////////////////////////////////////AP///////////////////
 /////////////////////////////////////////////////////////////////////////////
-///////////////////////////////+fn50hISEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEB
+///////////////////////5+fn2BgYOfn50hISEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEB
 AQEBAQEBAQAAAAH9/fwAAAAAAAAAAAP///wAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 AL+/v7+/v7+/v7+/v7+/v7+/v7+/vwAAAAAAAEhISEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQ
-I+Pj/////////////////////////////////////////////////////////////////////////
+I+Pj////wAAAP////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 //////////////////wD/////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+//////////////////////////////////////////////////////////////+fn59gYGD//////
 ///////////////
 //////////////////////////////////8AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAD///////////////
-/////////////////////////////////////////////////////////////////////////////
+////////////////////////////////8AAAD////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 //////////////////////////////////////////8A/////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+//////////n5+fYGBg///////////////////////////////////////////////////////////
 /////////////////////////////////////////////n5+fYGBg////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+////////////////////////////////////////////////////////////////////////AAAA/
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////AP//////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+/////////////////////////////////////////////////5+fn2BgYP///////////////////
 /////////////////////////////////////////////////////////////////////////////
 ///////5+fn2BgYP/////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+//////////////////////////////////wAAAP//////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ////////////////////////////////////////////wD///////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+///////////+3t7eHh4f/////////////////////////////////////////////////////////
 //////////////////////////////////////////////+fn59gYGD//////////////////////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+/////////////////////////////////////////////////////////////////////////9AQE
+D////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 //////8A/////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -703,62 +703,62 @@ AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAD///////////////
 /////////////////////////////////////////////////////////////////////////////
 ///////////////////////////////////////////////8A////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+///////////////5+fn19fX//////////////////////////////////////////////////////
 //////////////////////////////////////////////////n5+fYGBg////AAAA////AAAA///
 /AAAA////AAAA////f39/////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+v7+//////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 //////////AP/////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+//////////////////////////////////////////////////////5+fn2BgYP//////////////
 /////////////////////////////////////////////////////////////////////////////
 ////////////5+f
 n2BgYN/f3////39/f////39/f////39/f////39/f////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+////////////////////////wAAAP////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 //////////////////////////////////wD/////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+/+fn59gYGD///////////////////////////////////////////////////////////////////
 ////////////////////////////////////+vr68AAACvr6/////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+///////////////////////////////////////////////////////////////8AAAD/////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////8A//
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+/////////////////////////////////////////n5+fYGBg////////////////////////////
 ////////////////////////////////////////////////////AAAAAAAAAAAAAAAAAAAAAAAAA
 AAAAAAAAAAAAAAAAAAA//////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+//////////////////////////AAAA///////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ////////////////////////////////////AP///////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+///5+fn2BgYP/////////////////////////////////////////////////////////////////
 //////////////wAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAL+/vwAAAP//////////////
-/////////////////////////////////////////////////////////////////////////////
+/////////////////////////////////////////////////////////////////wAAAP///////
 /////////////////////////////////////////////////////////////////////////////
 ///////////////////////////////////////////////////////////////////////////wD
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+//////////////////////////////////////////+fn59gYGD//////////////////////////
 /////////////////////////////////////////////////////8AAAAAAAAAAAAAAAAAAAAAAA
 AAAAAAAAAAAAAAAAC/v78AAAD////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+///////////////////////////8AAAD/////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////8A//////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+/////n5+fYGBg////////////////////////////////////////////////////////////////
 ////////////////AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA/////////
-/////////////////////////////////////////////////////////////////////////////
+///////////////////////////////////////////////////////////////////AAAA//////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 AP///////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+////////////////////////////////////////////5+fn2BgYP////////////////////////
 ///////////////////////////////////////////////////////////////wAAAAAAAAAAAAA
 AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAP//////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+/////////////////////////////wAAAP///////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ///////////////////////////////////////wD////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+//////+3t7eHh4f//////////////////////////////////////////////////////////////
 /////////////////8AAAAAAAAAAAAAAAAAAAAA//8A//8A//8A//8A//8AAAAAAAAAAAAAAAAAAA
-D////////////////////////////////////////////////////////////////////////////
+D///////////////////////////////////////////////////////////////////9AQED////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /8A//////////////////////////////////////////////////////////////////////////
@@ -782,83 +782,83 @@ AAAAAAAAAAD//////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ///////////////////////////8A////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+////////////////////////////////////////////////////////////////////////5+fn1
+9fX//////////////////////////////////////////////////////////////////////////
 //////////////////////////AAAA////AAAA////AAAA///////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+/////////////////////////////////////////////////////////v7+/////////////////
 /////////////////////////////////////////////////////////////////////////////
 ///////////////////////////////////////////////////////////////////AP////////
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+//////////////////////////////////5+fn2BgYP//////////////////////////////////
 /////////////////////////////////////////////////////////////////////4+Pj5+fn
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+///////////////////wAAAP/////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////wD//////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+/////////////////////////////////////////////////////////////////////////+fn5
+9gYGD////////////////////////////////////////////////////////////////////////
 ///////////////////////////////9/f39/f3//////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+//////////////////////////////////////////////////////////8AAAD//////////////
 /////////////////////////////////////////////////////////////////////////////
 ////////////////////////////////////////////////////////////////////8A///////
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+////////////////////////////////////n5+fYGBg/////////////////////////////////
 ///////////////////////////////////////////////////////////////////////f39/f3
 9////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+/////////////////////AAAA////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ///////////////////////////////AP////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+///////////////////////////////////////////////////////////////////////////5+
+fn2BgYP//////////////////////////////////////////////////////////////////////
 /////////////////////////////////39/f39/f////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+////////////////////////////////////////////////////////////wAAAP////////////
 /////////////////////////////////////////////////////////////////////////////
 //////////////////////////////////////////////////////////////////////wD/////
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+/////////////////////////////////////+fn59gYGD///////////////////////////////
 ////////////////////////////////////////////////////////////////////////9/f39
-/f3//////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+/f3////////////+fn59/f39/f39/f39/f39/f39/f39/f3/Pz8////////////+vr69/f39/f39/
+f39/f39/f39/f39/f3/Pz88AAAD//////////////////////////////////////////////////
 ///////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////8A//////////////////////////////////////////////////////////
+//////////////////////////////////////////////////////////////n5+fYGBg///////
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
-////////////////////f39/f39//////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+////////////////////f39/f39/////////39/fEBAQf39/f39/f39/f39/f39/f39/f39/z8/P/
+///////////r6+vf39/f39/f39/f39/f39/f39/f39/z8/PAAAA//////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////AP//////////////////
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
-///////////////////////////////////////////////////////////39/f39/f//////////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+////////////////////////5+fn2BgYP////////////////////////////////////////////
+///////////////////////////////////////////////////////////39/f39/f////////9/
+f3yAgIP//////////////////////////////////////////////////////////////////////
+/////////wAAAP///////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ///////////////////wD////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////9/f39/f3////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+///////////////////////////////////////////////////////////////+np6doaGj///8A
+AAD///8AAAD///8AAAD///8AAAD///8AAAD///8AAAD///8AAAD///8AAAD///8AAAD//////////
+/////////////////////9/f39/f3/////////f398gICD///8AAAD///8AAAD///8AAAD///8AAA
+D///8AAAD///8AAAD///8AAAD///8AAAD///8AAAD///+/v78QEBD////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 //////////////////////////////////////////////////////////8A/////////////////
 /////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////f39/f39/////////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+//////////////////////////////7+/vYGBg////AAAA////AAAA////AAAA////AAAA////AAA
+A////AAAA////AAAA////AAAA////AAAA////////////////////////////f39/f39/////////
+39/fICAgn5+f////AAAA////AAAA////AAAA////AAAA////AAAA////AAAA////AAAA////AAAA/
+///AAAA////AAAA//////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////AP//////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-///////////////////////39/f39/f//////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+///////////////////////39/f39/f////////9/f3yAgIP/////////////////////////////
+//////////////////////////////////////////////////wAAAP//////////////////////
 /////////////////////////////////////////////////////////////////////////////
 ////////////////////////////////////////////////////////////wD///////////////
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 //////////////////////////////////////////////////////////////9/f39/f3///////
-/////////////////////////////////////////////////////////////////////////////
-/////////////////////////////////////////////////////////////////////////////
+//39/fHx8f///////////8AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAD///////////////8AAAAAAA
+AAAAAAAAAAAAAgICD////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
 //////////////////////8A/////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
@@ -1087,8 +1087,8 @@ D////////////////////////////////////////////////////////////////////////////
 ////////////////////////////////////////////////////////////////////AA4AAAAUA
 AAAAAAAABAAAAAUAAAA</PreviewPicture>
 <TimeCreated>2002-08-11T10:13:47</TimeCreated>
-<TimeSaved>2003-12-23T08:48:14</TimeSaved>
-<TimeEdited>2003-11-13T07:29:14</TimeEdited>
+<TimeSaved>2004-04-14T14:45:15</TimeSaved>
+<TimeEdited>2004-04-14T14:45:12</TimeEdited>
 <TimePrinted>2002-08-11T10:13:47</TimePrinted>
 </DocumentProperties>
 <DocumentSettings TopPage='0' DefaultTextStyle='3' DefaultLineStyle='3' DefaultFillStyle='3' DefaultGuideStyle='4'>
@@ -1155,7 +1155,7 @@ AAAAAAAABAAAAAUAAAA</PreviewPicture>
 <EnableLineProps F='1'>1</EnableLineProps>
 <EnableFillProps F='1'>1</EnableFillProps>
 <EnableTextProps F='1'>1</EnableTextProps>
-<HideForApply F='0'>0</HideForApply>
+<HideForApply F='FALSE'>0</HideForApply>
 </StyleProp>
 <Line>
 <LineWeight F='0.01DT'>0.01</LineWeight>
@@ -2030,9 +2030,9 @@ AAAAAAAABAAAAAUAAAA</PreviewPicture>
 <Hyperlink ID='1'>
 <Description>Visio Network Solutions</Description>
 <Address>http://officupdate.com/visio/</Address>
-<SubAddress F='No Formula'>&#xe000;</SubAddress>
-<ExtraInfo F='No Formula'>&#xe000;</ExtraInfo>
-<Frame F='No Formula'>&#xe000;</Frame>
+<SubAddress F='No Formula'/>
+<ExtraInfo F='No Formula'/>
+<Frame F='No Formula'/>
 <NewWindow F='No Formula'>0</NewWindow>
 <Default F='No Formula'>0</Default>
 </Hyperlink>
@@ -2141,7 +2141,7 @@ AAAAAAAABAAAAAUAAAA</PreviewPicture>
 <Disabled>0</Disabled>
 </Act>
 <Act IX='2'>
-<Menu F='If(Actions.Action[2],"Edit Equipment Label","")'>&#xe000;</Menu>
+<Menu F='If(Actions.Action[2],"Edit Equipment Label","")'/>
 <Action F='Not("Actions.Action[3]")'>0</Action>
 <Checked>0</Checked>
 <Disabled>0</Disabled>
@@ -2156,7 +2156,7 @@ AAAAAAAABAAAAAUAAAA</PreviewPicture>
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Manufacturer Name</Prompt>
 <Label>Manufacturer</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Equipment</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -2166,7 +2166,7 @@ AAAAAAAABAAAAAUAAAA</PreviewPicture>
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Product Number</Prompt>
 <Label>Product Number</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Equipment</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -2176,7 +2176,7 @@ AAAAAAAABAAAAAUAAAA</PreviewPicture>
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Part Number</Prompt>
 <Label>Part Number</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Equipment</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -2186,7 +2186,7 @@ AAAAAAAABAAAAAUAAAA</PreviewPicture>
 <Value Unit='STR'>Generic Firewall</Value>
 <Prompt>Product Description</Prompt>
 <Label>Product Description</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Equipment</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -2230,11 +2230,11 @@ AAAAAAAABAAAAAUAAAA</PreviewPicture>
 </User>
 <User NameU='visKeywords' ID='11'>
 <Value Unit='STR'>Generic,Firewall,Internet,Symbols,Requires,Version,higher</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <User NameU='visVersion' ID='12'>
 <Value>10</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <Control IX='0'>
 <X F='Width*0.5+Sheet.6!Width*0'>3.27109375</X>
@@ -2306,7 +2306,7 @@ AAAAAAAABAAAAAUAAAA</PreviewPicture>
 <TextXForm>
 <TxtPinX F='Loc(Pnt(Sheet.5!Controls.X1,Sheet.5!Controls.Y1))'>3.27109375</TxtPinX>
 <TxtPinY F='Loc(Pnt(Sheet.5!Controls.X1,Sheet.5!Controls.Y1))'>-2.4444444444444</TxtPinY>
-<TxtWidth F='Guard(Max(TextWidth(TheText),8*Char.Size))'>9.1379123273889</TxtWidth>
+<TxtWidth F='Guard(Max(TextWidth(TheText),8*Char.Size))'>9.1379123273888</TxtWidth>
 <TxtHeight F='Guard(TextHeight(TheText,TxtWidth))'>2.4444444444444</TxtHeight>
 <TxtLocPinX F='TxtWidth*0.5'>4.5689561636944</TxtLocPinX>
 <TxtLocPinY F='TxtHeight*0.5'>1.2222222222222</TxtLocPinY>
@@ -2793,7 +2793,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Disabled>0</Disabled>
 </Act>
 <Act IX='2'>
-<Menu F='If(Actions.Action[2],"Edit Equipment Label","")'>&#xe000;</Menu>
+<Menu F='If(Actions.Action[2],"Edit Equipment Label","")'/>
 <Action F='Not("Actions.Action[3]")'>0</Action>
 <Checked>0</Checked>
 <Disabled>0</Disabled>
@@ -2808,7 +2808,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Manufacturer Name</Prompt>
 <Label>Manufacturer</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Equipment</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -2818,7 +2818,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Product Number</Prompt>
 <Label>Product Number</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Equipment</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -2828,7 +2828,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Part Number</Prompt>
 <Label>Part Number</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Equipment</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -2838,7 +2838,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>Generic Desktop</Value>
 <Prompt>Product Description</Prompt>
 <Label>Product Description</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Equipment</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -2878,7 +2878,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Support Agreement</Prompt>
 <Label>Support Agreement</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Maintenance</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -2888,7 +2888,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Support Contact Name</Prompt>
 <Label>Support Contact Name</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Maintenance</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -2898,7 +2898,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Contact Phone</Prompt>
 <Label>Contact Phone</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Maintenance</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -2908,7 +2908,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Comments</Prompt>
 <Label>Comments</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Maintenance</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -2928,7 +2928,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Asset ID</Prompt>
 <Label>Asset Number</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Asset</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -2938,7 +2938,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Serial Number</Prompt>
 <Label>Serial Number</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Asset</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -2948,7 +2948,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Location</Prompt>
 <Label>Location</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Asset</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -2958,7 +2958,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Building</Prompt>
 <Label>Building</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Asset</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -2968,7 +2968,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Room</Prompt>
 <Label>Room</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Asset</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -2978,7 +2978,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Department</Prompt>
 <Label>Department</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Asset</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -2988,7 +2988,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Network Name</Prompt>
 <Label>Network Name</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Network</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -2998,7 +2998,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>IP Address</Prompt>
 <Label>IP Address</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Network</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3008,7 +3008,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Subnet Mask</Prompt>
 <Label>Subnet Mask</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Network</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3018,7 +3018,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Administrative Interface</Prompt>
 <Label>Admin. Interface</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Network</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3028,7 +3028,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Number of Ports</Prompt>
 <Label>Number of Ports</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Network</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3038,7 +3038,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>MAC Address</Prompt>
 <Label>MAC Address</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Network</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3048,7 +3048,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Community String</Prompt>
 <Label>Community String</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Network</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3058,7 +3058,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Network Description</Prompt>
 <Label>Network Description</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Network</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3102,11 +3102,11 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 </User>
 <User NameU='visKeywords' ID='11'>
 <Value Unit='STR'>Generic,Desktop,PC,Peripherals,Requires,Version,higher</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <User NameU='visVersion' ID='12'>
 <Value>10</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <Control IX='0'>
 <X F='Width*0.5+Sheet.6!Width*0'>2.86953125</X>
@@ -3178,7 +3178,7 @@ AAAD//7////4P///8B///+AP//+AD///AA///wAH//8AB///AAP//wAD//8AA///AAH//wAB//8AA
 <TextXForm>
 <TxtPinX F='Loc(Pnt(Sheet.5!Controls.X1,Sheet.5!Controls.Y1))'>2.86953125</TxtPinX>
 <TxtPinY F='Loc(Pnt(Sheet.5!Controls.X1,Sheet.5!Controls.Y1))'>-2.4444444444444</TxtPinY>
-<TxtWidth F='Guard(Max(TextWidth(TheText),8*Char.Size))'>9.3863932301667</TxtWidth>
+<TxtWidth F='Guard(Max(TextWidth(TheText),8*Char.Size))'>9.3863932301666</TxtWidth>
 <TxtHeight F='Guard(TextHeight(TheText,TxtWidth))'>2.4444444444444</TxtHeight>
 <TxtLocPinX F='TxtWidth*0.5'>4.6931966150833</TxtLocPinX>
 <TxtLocPinY F='TxtHeight*0.5'>1.2222222222222</TxtLocPinY>
@@ -3502,7 +3502,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Disabled>0</Disabled>
 </Act>
 <Act IX='2'>
-<Menu F='If(Actions.Action[2],"Edit Equipment Label","")'>&#xe000;</Menu>
+<Menu F='If(Actions.Action[2],"Edit Equipment Label","")'/>
 <Action F='Not("Actions.Action[3]")'>0</Action>
 <Checked>0</Checked>
 <Disabled>0</Disabled>
@@ -3517,7 +3517,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Manufacturer Name</Prompt>
 <Label>Manufacturer</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Equipment</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3527,7 +3527,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Product Number</Prompt>
 <Label>Product Number</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Equipment</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3537,7 +3537,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Part Number</Prompt>
 <Label>Part Number</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Equipment</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3547,7 +3547,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>Ethernet Hub</Value>
 <Prompt>Product Description</Prompt>
 <Label>Product Description</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Equipment</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3587,7 +3587,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Support Agreement</Prompt>
 <Label>Support Agreement</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Maintenance</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3597,7 +3597,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Support Contact Name</Prompt>
 <Label>Support Contact Name</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Maintenance</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3607,7 +3607,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Contact Phone</Prompt>
 <Label>Contact Phone</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Maintenance</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3617,7 +3617,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Comments</Prompt>
 <Label>Comments</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Maintenance</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3637,7 +3637,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Asset ID</Prompt>
 <Label>Asset Number</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Asset</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3647,7 +3647,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Serial Number</Prompt>
 <Label>Serial Number</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Asset</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3657,7 +3657,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Location</Prompt>
 <Label>Location</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Asset</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3667,7 +3667,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Building</Prompt>
 <Label>Building</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Asset</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3677,7 +3677,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Room</Prompt>
 <Label>Room</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Asset</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3687,7 +3687,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Department</Prompt>
 <Label>Department</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Asset</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3697,7 +3697,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Network Name</Prompt>
 <Label>Network Name</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Network</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3707,7 +3707,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>IP Address</Prompt>
 <Label>IP Address</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Network</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3717,7 +3717,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Subnet Mask</Prompt>
 <Label>Subnet Mask</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Network</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3727,7 +3727,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Administrative Interface</Prompt>
 <Label>Admin. Interface</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Network</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3737,7 +3737,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Number of Ports</Prompt>
 <Label>Number of Ports</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Network</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3747,7 +3747,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>MAC Address</Prompt>
 <Label>MAC Address</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Network</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3757,7 +3757,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Community String</Prompt>
 <Label>Community String</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Network</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3767,7 +3767,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Network Description</Prompt>
 <Label>Network Description</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Network</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -3811,11 +3811,11 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 </User>
 <User NameU='visKeywords' ID='11'>
 <Value Unit='STR'>Ethernet,Hub,Network,Devices,Requires,Version,higher</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <User NameU='visVersion' ID='12'>
 <Value>10</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <Control IX='0'>
 <X F='Width*0.5+Sheet.6!Width*0'>5.52578125</X>
@@ -3887,7 +3887,7 @@ AIAAAACAAAAAgAAAAIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////
 <TextXForm>
 <TxtPinX F='Loc(Pnt(Sheet.5!Controls.X1,Sheet.5!Controls.Y1))'>5.52578125</TxtPinX>
 <TxtPinY F='Loc(Pnt(Sheet.5!Controls.X1,Sheet.5!Controls.Y1))'>-2.4444444444444</TxtPinY>
-<TxtWidth F='Guard(Max(TextWidth(TheText),8*Char.Size))'>7.6584201398889</TxtWidth>
+<TxtWidth F='Guard(Max(TextWidth(TheText),8*Char.Size))'>7.6584201398888</TxtWidth>
 <TxtHeight F='Guard(TextHeight(TheText,TxtWidth))'>2.4444444444444</TxtHeight>
 <TxtLocPinX F='TxtWidth*0.5'>3.8292100699444</TxtLocPinX>
 <TxtLocPinY F='TxtHeight*0.5'>1.2222222222222</TxtLocPinY>
@@ -4217,7 +4217,7 @@ AIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////////////////////
 <PageWidth>3</PageWidth>
 <PageHeight>3</PageHeight>
 <ShdwOffsetX>0.125</ShdwOffsetX>
-<ShdwOffsetY F='-0.125DP'>-0.125</ShdwOffsetY>
+<ShdwOffsetY>-0.125</ShdwOffsetY>
 <PageScale Unit='IN_F'>1</PageScale>
 <DrawingScale Unit='IN_F'>1</DrawingScale>
 <DrawingSizeType>4</DrawingSizeType>
@@ -4261,7 +4261,7 @@ AIAAAACAAAAAgAAAAIAAAAD//////////////////////////////////////////////////////
 <TextXForm>
 <TxtPinX F='Width*0.5'>0.5</TxtPinX>
 <TxtPinY F='Height*0.5'>-0.5</TxtPinY>
-<TxtWidth F='Max(TextWidth(TheText),5*Char.Size)'>0.55555555555556</TxtWidth>
+<TxtWidth F='Max(TextWidth(TheText),5*Char.Size)'>0.55555555555555</TxtWidth>
 <TxtHeight F='TextHeight(TheText,TxtWidth)'>0.24444444444444</TxtHeight>
 <TxtLocPinX F='TxtWidth*0.5'>0.27777777777778</TxtLocPinX>
 <TxtLocPinY F='TxtHeight*0.5'>0.12222222222222</TxtLocPinY>
@@ -4467,7 +4467,7 @@ AAAD/////////////////gH///79///4Df//8A3//+AN///AAAAf0A3/39Ad/9/eff/f3H3/3959/
 <Disabled>0</Disabled>
 </Act>
 <Act IX='2'>
-<Menu F='If(Actions.Action[2],"Edit Equipment Label","")'>&#xe000;</Menu>
+<Menu F='If(Actions.Action[2],"Edit Equipment Label","")'/>
 <Action F='Not("Actions.Action[3]")'>0</Action>
 <Checked>0</Checked>
 <Disabled>0</Disabled>
@@ -4482,7 +4482,7 @@ AAAD/////////////////gH///79///4Df//8A3//+AN///AAAAf0A3/39Ad/9/eff/f3H3/3959/
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Manufacturer Name</Prompt>
 <Label>Manufacturer</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Equipment</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -4492,7 +4492,7 @@ AAAD/////////////////gH///79///4Df//8A3//+AN///AAAAf0A3/39Ad/9/eff/f3H3/3959/
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Product Number</Prompt>
 <Label>Product Number</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Equipment</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -4502,7 +4502,7 @@ AAAD/////////////////gH///79///4Df//8A3//+AN///AAAAf0A3/39Ad/9/eff/f3H3/3959/
 <Value Unit='STR'>&#xe000;</Value>
 <Prompt>Part Number</Prompt>
 <Label>Part Number</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Equipment</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -4512,7 +4512,7 @@ AAAD/////////////////gH///79///4Df//8A3//+AN///AAAAf0A3/39Ad/9/eff/f3H3/3959/
 <Value Unit='STR'>Hardware Firewall</Value>
 <Prompt>Product Description</Prompt>
 <Label>Product Description</Label>
-<Format F='No Formula'>&#xe000;</Format>
+<Format F='No Formula'/>
 <SortKey>Equipment</SortKey>
 <Type F='No Formula'>0</Type>
 <Invisible F='No Formula'>0</Invisible>
@@ -4556,11 +4556,11 @@ AAAD/////////////////gH///79///4Df//8A3//+AN///AAAAf0A3/39Ad/9/eff/f3H3/3959/
 </User>
 <User NameU='visKeywords' ID='11'>
 <Value Unit='STR'>Hardware,Firewall,Internet,Symbols,Requires,Version,higher</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <User NameU='visVersion' ID='12'>
 <Value>10</Value>
-<Prompt F='No Formula'>&#xe000;</Prompt>
+<Prompt F='No Formula'/>
 </User>
 <Control IX='0'>
 <X F='Width*0.5+Sheet.6!Width*0'>5.59921875</X>
@@ -4904,13 +4904,13 @@ B/gAAAHgAAAA/AAAH/iAAD/5gAA//4ABf/+AAf//4AH///wR///5k/////P//////////////////
 </Master>
 </Masters>
 <Pages>
-<Page ID='0' NameU='Page-1' ViewScale='-1' ViewCenterX='42.571428571429' ViewCenterY='55.071428571429'>
+<Page ID='0' NameU='Page-1' ViewScale='-1' ViewCenterX='42.5' ViewCenterY='55'>
 <PageSheet LineStyle='0' FillStyle='0' TextStyle='0'>
 <PageProps>
 <PageWidth Unit='IN'>85</PageWidth>
 <PageHeight Unit='IN'>110</PageHeight>
 <ShdwOffsetX>0.125</ShdwOffsetX>
-<ShdwOffsetY F='-0.125DP'>-0.125</ShdwOffsetY>
+<ShdwOffsetY>-0.125</ShdwOffsetY>
 <PageScale Unit='IN'>1</PageScale>
 <DrawingScale Unit='IN'>10</DrawingScale>
 <DrawingSizeType>0</DrawingSizeType>
@@ -5121,7 +5121,7 @@ B/gAAAHgAAAA/AAAH/iAAD/5gAA//4ABf/+AAf//4AH///wR///5k/////P//////////////////
 <TextXForm>
 <TxtPinX F='Inh'>5.934765625</TxtPinX>
 <TxtPinY F='Inh'>-2.4444444444444</TxtPinY>
-<TxtWidth F='Inh'>9.3863932301667</TxtWidth>
+<TxtWidth F='Inh'>9.3863932301666</TxtWidth>
 <TxtHeight F='Inh'>2.4444444444444</TxtHeight>
 <TxtLocPinX F='Inh'>4.6931966150833</TxtLocPinX>
 <TxtLocPinY F='Inh'>1.2222222222222</TxtLocPinY>
@@ -5267,7 +5267,7 @@ B/gAAAHgAAAA/AAAH/iAAD/5gAA//4ABf/+AAf//4AH///wR///5k/////P//////////////////
 <TextXForm>
 <TxtPinX F='Inh'>5.934765625</TxtPinX>
 <TxtPinY F='Inh'>-2.4444444444444</TxtPinY>
-<TxtWidth F='Inh'>9.3863932301667</TxtWidth>
+<TxtWidth F='Inh'>9.3863932301666</TxtWidth>
 <TxtHeight F='Inh'>2.4444444444444</TxtHeight>
 <TxtLocPinX F='Inh'>4.6931966150833</TxtLocPinX>
 <TxtLocPinY F='Inh'>1.2222222222222</TxtLocPinY>
@@ -5431,7 +5431,7 @@ B/gAAAHgAAAA/AAAH/iAAD/5gAA//4ABf/+AAf//4AH///wR///5k/////P//////////////////
 <TextXForm>
 <TxtPinX F='Inh'>9.02578125</TxtPinX>
 <TxtPinY F='Inh'>-2.4444444444444</TxtPinY>
-<TxtWidth F='Inh'>7.6584201398889</TxtWidth>
+<TxtWidth F='Inh'>7.6584201398888</TxtWidth>
 <TxtHeight F='Inh'>2.4444444444444</TxtHeight>
 <TxtLocPinX F='Inh'>3.8292100699444</TxtLocPinX>
 <TxtLocPinY F='Inh'>1.2222222222222</TxtLocPinY>
@@ -6065,6 +6065,256 @@ B/gAAAHgAAAA/AAAH/iAAD/5gAA//4ABf/+AAf//4AH///wR///5k/////P//////////////////
 </Geom>
 <Text>10.1.1.1</Text>
 </Shape>
+<Shape ID='19' Type='Shape' LineStyle='1' FillStyle='1' TextStyle='3'>
+<XForm>
+<PinX>28.2173828125</PinX>
+<PinY>85</PinY>
+<Width>14.434765625</Width>
+<Height>3.6923263936156</Height>
+<LocPinX F='Width*0.5'>7.2173828125</LocPinX>
+<LocPinY F='Height*0.5'>1.8461631968078</LocPinY>
+<Angle>0</Angle>
+<FlipX>0</FlipX>
+<FlipY>0</FlipY>
+<ResizeMode>0</ResizeMode>
+</XForm>
+<Event>
+<TheData F='No Formula'>0</TheData>
+<TheText F='No Formula'>0</TheText>
+<EventDblClick F='_OpenTextWin()'>0</EventDblClick>
+<EventXFMod F='No Formula'>0</EventXFMod>
+<EventDrop F='No Formula'>0</EventDrop>
+</Event>
+<Connection IX='0'>
+<X F='Width*0'>0</X>
+<Y F='Height*1'>3.6923263936156</Y>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
+<Type F='No Formula'>0</Type>
+<AutoGen>1</AutoGen>
+<Prompt F='No Formula'/>
+</Connection>
+<Connection IX='1'>
+<X F='Width*0'>0</X>
+<Y F='Height*0.5'>1.8461631968078</Y>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
+<Type F='No Formula'>0</Type>
+<AutoGen>1</AutoGen>
+<Prompt F='No Formula'/>
+</Connection>
+<Geom IX='0'>
+<NoFill>0</NoFill>
+<NoLine>0</NoLine>
+<NoShow>0</NoShow>
+<NoSnap>0</NoSnap>
+<MoveTo IX='1'>
+<X F='Width*0'>0</X>
+<Y F='Height*0'>0</Y>
+</MoveTo>
+<LineTo IX='2'>
+<X F='Width*1'>14.434765625</X>
+<Y F='Height*0'>0</Y>
+</LineTo>
+<LineTo IX='3'>
+<X F='Width*1'>14.434765625</X>
+<Y F='Height*1'>3.6923263936156</Y>
+</LineTo>
+<LineTo IX='4'>
+<X F='Width*0'>0</X>
+<Y F='Height*1'>3.6923263936156</Y>
+</LineTo>
+<LineTo IX='5'>
+<X F='Width*0'>0</X>
+<Y F='Height*0'>0</Y>
+</LineTo>
+</Geom>
+<Text>(130.252.100.18)</Text>
+</Shape>
+<Shape ID='20' Type='Shape' LineStyle='1' FillStyle='1' TextStyle='3'>
+<XForm>
+<PinX>50.2826171875</PinX>
+<PinY>85</PinY>
+<Width>14.434765625</Width>
+<Height>3.6923263936156</Height>
+<LocPinX F='Width*0.5'>7.2173828125</LocPinX>
+<LocPinY F='Height*0.5'>1.8461631968078</LocPinY>
+<Angle>0</Angle>
+<FlipX>0</FlipX>
+<FlipY>0</FlipY>
+<ResizeMode>0</ResizeMode>
+</XForm>
+<Event>
+<TheData F='No Formula'>0</TheData>
+<TheText F='No Formula'>0</TheText>
+<EventDblClick F='_OpenTextWin()'>0</EventDblClick>
+<EventXFMod F='No Formula'>0</EventXFMod>
+<EventDrop F='No Formula'>0</EventDrop>
+</Event>
+<Line>
+<LineWeight F='Inh'>0.01</LineWeight>
+<LineColor F='Inh'>0</LineColor>
+<LinePattern>2</LinePattern>
+<Rounding F='Inh'>0</Rounding>
+<EndArrowSize F='Inh'>2</EndArrowSize>
+<BeginArrow F='Inh'>0</BeginArrow>
+<EndArrow F='Inh'>0</EndArrow>
+<LineCap F='Inh'>0</LineCap>
+<BeginArrowSize F='Inh'>2</BeginArrowSize>
+<LineColorTrans F='Inh'>0</LineColorTrans>
+</Line>
+<Connection IX='0'>
+<X F='Width*0'>0</X>
+<Y F='Height*1'>3.6923263936156</Y>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
+<Type F='No Formula'>0</Type>
+<AutoGen>1</AutoGen>
+<Prompt F='No Formula'/>
+</Connection>
+<Connection IX='1'>
+<X F='Width*1'>14.434765625</X>
+<Y F='Height*0.5'>1.8461631968078</Y>
+<DirX F='No Formula'>0</DirX>
+<DirY F='No Formula'>0</DirY>
+<Type F='No Formula'>0</Type>
+<AutoGen>1</AutoGen>
+<Prompt F='No Formula'/>
+</Connection>
+<Geom IX='0'>
+<NoFill>0</NoFill>
+<NoLine>0</NoLine>
+<NoShow>0</NoShow>
+<NoSnap>0</NoSnap>
+<MoveTo IX='1'>
+<X F='Width*0'>0</X>
+<Y F='Height*0'>0</Y>
+</MoveTo>
+<LineTo IX='2'>
+<X F='Width*1'>14.434765625</X>
+<Y F='Height*0'>0</Y>
+</LineTo>
+<LineTo IX='3'>
+<X F='Width*1'>14.434765625</X>
+<Y F='Height*1'>3.6923263936156</Y>
+</LineTo>
+<LineTo IX='4'>
+<X F='Width*0'>0</X>
+<Y F='Height*1'>3.6923263936156</Y>
+</LineTo>
+<LineTo IX='5'>
+<X F='Width*0'>0</X>
+<Y F='Height*0'>0</Y>
+</LineTo>
+</Geom>
+<Text>(130.252.100.19)</Text>
+</Shape>
+<Shape ID='21' Type='Shape' LineStyle='3' FillStyle='3' TextStyle='3'>
+<XForm>
+<PinX F='(BeginX+EndX)/2'>21</PinX>
+<PinY F='(BeginY+EndY)/2'>72.5</PinY>
+<Width F='Sqrt((EndX-BeginX)^2+(EndY-BeginY)^2)'>25</Width>
+<Height>0</Height>
+<LocPinX F='Width*0.5'>12.5</LocPinX>
+<LocPinY F='Height*0.5'>0</LocPinY>
+<Angle F='ATan2(EndY-BeginY,EndX-BeginX)'>-1.5707963267949</Angle>
+<FlipX>0</FlipX>
+<FlipY>0</FlipY>
+<ResizeMode>0</ResizeMode>
+</XForm>
+<XForm1D>
+<BeginX F='Par(Pnt(Sheet.19!Connections.X2,Sheet.19!Connections.Y2))'>21</BeginX>
+<BeginY F='Par(Pnt(Sheet.19!Connections.X2,Sheet.19!Connections.Y2))'>85</BeginY>
+<EndX>21</EndX>
+<EndY>60</EndY>
+</XForm1D>
+<Event>
+<TheData F='No Formula'>0</TheData>
+<TheText F='No Formula'>0</TheText>
+<EventDblClick F='No Formula'>0</EventDblClick>
+<EventXFMod F='No Formula'>0</EventXFMod>
+<EventDrop F='No Formula'>0</EventDrop>
+</Event>
+<Line>
+<LineWeight F='Inh'>0.01</LineWeight>
+<LineColor F='Inh'>0</LineColor>
+<LinePattern>2</LinePattern>
+<Rounding F='Inh'>0</Rounding>
+<EndArrowSize F='Inh'>2</EndArrowSize>
+<BeginArrow F='Inh'>0</BeginArrow>
+<EndArrow F='Inh'>0</EndArrow>
+<LineCap F='Inh'>0</LineCap>
+<BeginArrowSize F='Inh'>2</BeginArrowSize>
+<LineColorTrans F='Inh'>0</LineColorTrans>
+</Line>
+<Geom IX='0'>
+<NoFill>1</NoFill>
+<NoLine>0</NoLine>
+<NoShow>0</NoShow>
+<NoSnap>0</NoSnap>
+<MoveTo IX='1'>
+<X F='Width*0'>0</X>
+<Y>0</Y>
+</MoveTo>
+<LineTo IX='2'>
+<X F='Width*1'>25</X>
+<Y>0</Y>
+</LineTo>
+</Geom>
+</Shape>
+<Shape ID='22' Type='Shape' LineStyle='3' FillStyle='3' TextStyle='3'>
+<XForm>
+<PinX F='(BeginX+EndX)/2'>57.5</PinX>
+<PinY F='(BeginY+EndY)/2'>72.5</PinY>
+<Width F='Sqrt((EndX-BeginX)^2+(EndY-BeginY)^2)'>25</Width>
+<Height>0</Height>
+<LocPinX F='Width*0.5'>12.5</LocPinX>
+<LocPinY F='Height*0.5'>0</LocPinY>
+<Angle F='ATan2(EndY-BeginY,EndX-BeginX)'>-1.5707963267949</Angle>
+<FlipX>0</FlipX>
+<FlipY>0</FlipY>
+<ResizeMode>0</ResizeMode>
+</XForm>
+<XForm1D>
+<BeginX F='Par(Pnt(Sheet.20!Connections.X2,Sheet.20!Connections.Y2))'>57.5</BeginX>
+<BeginY F='Par(Pnt(Sheet.20!Connections.X2,Sheet.20!Connections.Y2))'>85</BeginY>
+<EndX>57.5</EndX>
+<EndY>60</EndY>
+</XForm1D>
+<Event>
+<TheData F='No Formula'>0</TheData>
+<TheText F='No Formula'>0</TheText>
+<EventDblClick F='No Formula'>0</EventDblClick>
+<EventXFMod F='No Formula'>0</EventXFMod>
+<EventDrop F='No Formula'>0</EventDrop>
+</Event>
+<Line>
+<LineWeight F='Inh'>0.01</LineWeight>
+<LineColor F='Inh'>0</LineColor>
+<LinePattern>2</LinePattern>
+<Rounding F='Inh'>0</Rounding>
+<EndArrowSize F='Inh'>2</EndArrowSize>
+<BeginArrow F='Inh'>0</BeginArrow>
+<EndArrow F='Inh'>0</EndArrow>
+<LineCap F='Inh'>0</LineCap>
+<BeginArrowSize F='Inh'>2</BeginArrowSize>
+<LineColorTrans F='Inh'>0</LineColorTrans>
+</Line>
+<Geom IX='0'>
+<NoFill>1</NoFill>
+<NoLine>0</NoLine>
+<NoShow>0</NoShow>
+<NoSnap>0</NoSnap>
+<MoveTo IX='1'>
+<X F='Width*0'>0</X>
+<Y>0</Y>
+</MoveTo>
+<LineTo IX='2'>
+<X F='Width*1'>25</X>
+<Y>0</Y>
+</LineTo>
+</Geom>
+</Shape>
 </Shapes>
 <Connects>
 <Connect FromSheet='3' FromCell='BeginX' FromPart='9' ToSheet='15' ToCell='Connections.X1' ToPart='100'/>
@@ -6074,11 +6324,13 @@ B/gAAAHgAAAA/AAAH/iAAD/5gAA//4ABf/+AAf//4AH///wR///5k/////P//////////////////
 <Connect FromSheet='11' FromCell='BeginX' FromPart='9' ToSheet='6' ToCell='Connections.X1' ToPart='100'/>
 <Connect FromSheet='11' FromCell='EndX' FromPart='12' ToSheet='8' ToCell='Connections.X2' ToPart='101'/>
 <Connect FromSheet='12' FromCell='BeginX' FromPart='9' ToSheet='8' ToCell='Connections.X3' ToPart='102'/>
+<Connect FromSheet='21' FromCell='BeginX' FromPart='9' ToSheet='19' ToCell='Connections.X2' ToPart='101'/>
+<Connect FromSheet='22' FromCell='BeginX' FromPart='9' ToSheet='20' ToCell='Connections.X2' ToPart='101'/>
 </Connects>
 </Page>
 </Pages>
-<Windows ClientWidth='1280' ClientHeight='876'>
-<Window ID='0' WindowType='Drawing' WindowState='1073741824' WindowLeft='-4' WindowTop='-30' WindowWidth='1288' WindowHeight='910' ContainerType='Page' Page='0' ViewScale='-1' ViewCenterX='42.571428571429' ViewCenterY='55.071428571429'>
+<Windows ClientWidth='1280' ClientHeight='855'>
+<Window ID='0' WindowType='Drawing' WindowState='1073741824' WindowLeft='-4' WindowTop='-23' WindowWidth='1288' WindowHeight='882' ContainerType='Page' Page='0' ViewScale='-1' ViewCenterX='42.5' ViewCenterY='55'>
 <ShowRulers>1</ShowRulers>
 <ShowGrid>1</ShowGrid>
 <ShowPageBreaks>0</ShowPageBreaks>
@@ -6090,33 +6342,5 @@ B/gAAAHgAAAA/AAAH/iAAD/5gAA//4ABf/+AAf//4AH///wR///5k/////P//////////////////
 <DynamicGridEnabled>0</DynamicGridEnabled>
 <TabSplitterPos>0.33</TabSplitterPos>
 </Window>
-<Window ID='1' WindowType='Stencil' WindowState='1025' WindowLeft='-196' WindowTop='-1' WindowWidth='188' WindowHeight='874' Document='C:\Program Files\Microsoft Office\Visio10\1033\Solutions\Network\Generic Manufacturer Equipment (US units).VSS' ParentWindow='0'>
-<StencilGroup>10</StencilGroup>
-<StencilGroupPos>0</StencilGroupPos>
-</Window>
-<Window ID='2' WindowType='Stencil' WindowState='67109889' WindowLeft='-196' WindowTop='-1' WindowWidth='188' WindowHeight='874' Document='C:\Program Files\Microsoft Office\Visio10\1033\Solutions\Network\Internet Symbols (US units).VSS' ParentWindow='0'>
-<StencilGroup>10</StencilGroup>
-<StencilGroupPos>1</StencilGroupPos>
-</Window>
-<Window ID='3' WindowType='Stencil' WindowState='1025' WindowLeft='-196' WindowTop='-1' WindowWidth='188' WindowHeight='874' Document='C:\Program Files\Microsoft Office\Visio10\1033\Solutions\Network\Logical Symbols (US units).VSS' ParentWindow='0'>
-<StencilGroup>10</StencilGroup>
-<StencilGroupPos>2</StencilGroupPos>
-</Window>
-<Window ID='4' WindowType='Stencil' WindowState='1025' WindowLeft='-196' WindowTop='-1' WindowWidth='188' WindowHeight='874' Document='C:\Program Files\Microsoft Office\Visio10\1033\Solutions\Network\Network Devices (US units).VSS' ParentWindow='0'>
-<StencilGroup>10</StencilGroup>
-<StencilGroupPos>3</StencilGroupPos>
-</Window>
-<Window ID='5' WindowType='Stencil' WindowState='1025' WindowLeft='-196' WindowTop='-1' WindowWidth='188' WindowHeight='874' Document='C:\Program Files\Microsoft Office\Visio10\1033\Solutions\Network\Telecom (US units).VSS' ParentWindow='0'>
-<StencilGroup>10</StencilGroup>
-<StencilGroupPos>4</StencilGroupPos>
-</Window>
-<Window ID='6' WindowType='Stencil' WindowState='1025' WindowLeft='-196' WindowTop='-1' WindowWidth='188' WindowHeight='874' Document='C:\Program Files\Microsoft Office\Visio10\1033\Solutions\Network\PC and Peripherals (US units).vss' ParentWindow='0'>
-<StencilGroup>10</StencilGroup>
-<StencilGroupPos>5</StencilGroupPos>
-</Window>
-<Window ID='7' WindowType='Stencil' WindowState='1025' WindowLeft='-196' WindowTop='-1' WindowWidth='188' WindowHeight='874' Document='C:\Program Files\Microsoft Office\Visio10\1033\Solutions\Network\Printers and Scanners (US units).vss' ParentWindow='0'>
-<StencilGroup>10</StencilGroup>
-<StencilGroupPos>6</StencilGroupPos>
-</Window>
 </Windows>
 </VisioDocument>
\ No newline at end of file
diff --git a/Shorewall-docs2/myfiles.xml b/Shorewall-docs2/myfiles.xml
index e2254cbc2..0ef62449c 100644
--- a/Shorewall-docs2/myfiles.xml
+++ b/Shorewall-docs2/myfiles.xml
@@ -15,7 +15,7 @@
       </author>
     </authorgroup>
 
-    <pubdate>2004-04-03</pubdate>
+    <pubdate>2004-04-27</pubdate>
 
     <copyright>
       <year>2001-2004</year>
@@ -47,16 +47,16 @@
 
     <caution>
       <para>The configuration shown here corresponds to Shorewall version
-      2.0.1 (that&#39;s right -- I am running a version of Shorewall that is
-      not yet released). My configuration uses features not available in
-      earlier Shorewall releases.</para>
+      2.0.1. My configuration uses features not available in earlier Shorewall
+      releases.</para>
     </caution>
 
     <para>I have DSL service and have 5 static IP addresses
     (206.124.146.176-180). My DSL <quote>modem</quote> (Fujitsu Speedport) is
     connected to eth0. I have a local network connected to eth2 (subnet
     192.168.1.0/24) and a DMZ connected to eth1 (206.124.146.176/32). Note
-    that the IP address of eth1 is a duplicate of one on eth0.</para>
+    that I configure the same IP address on both <filename class="devicefile">eth0</filename>
+    and <filename class="devicefile">eth1</filename>.</para>
 
     <para>In this configuration:</para>
 
@@ -127,8 +127,9 @@
 
     <para>I run an SNMP server on my firewall to serve <ulink
     url="http://www.ee.ethz.ch/~oetiker/webtools/mrtg/">MRTG</ulink> running
-    in the DMZ.<graphic align="center" fileref="images/network.png" />The
-    ethernet interface in the Server is configured with IP address
+    in the DMZ.</para>
+
+    <para>The ethernet interface in the Server is configured with IP address
     206.124.146.177, netmask 255.255.255.0. The server&#39;s default gateway
     is 206.124.146.254 (Router at my ISP. This is the same default gateway
     used by the firewall itself). On the firewall, an entry in my
@@ -136,6 +137,8 @@
     206.124.146.177 through eth1 when that interface is brought up.</para>
 
     <para>Tarry (192.168.1.4) runs a PPTP server for Road Warrior access.</para>
+
+    <para><graphic align="center" fileref="images/network.png" /></para>
   </section>
 
   <section>
@@ -241,27 +244,6 @@ eth2            -
       </blockquote>
     </section>
 
-    <section id="RFC1918">
-      <title>RFC1918 File</title>
-
-      <blockquote>
-        <para>I use a stripped-down file which doesn&#39;t have to be updated
-        when the IANA allocates a block of IP addresses.</para>
-      </blockquote>
-
-      <blockquote>
-        <programlisting>#SUBNET                 TARGET
-169.254.0.0/16          DROP            # DHCP autoconfig
-172.16.0.0/12           logdrop         # RFC 1918
-192.0.2.0/24            logdrop         # Example addresses
-192.168.0.0/16          logdrop         # RFC 1918
-10.24.60.56             DROP            # Some idiot in my broadcast domain
-                                        # has a box configured with this
-                                        # address.
-10.0.0.0/8              logdrop         # Reserved (RFC 1918)</programlisting>
-      </blockquote>
-    </section>
-
     <section>
       <title>Blacklist File (Partial)</title>
 
@@ -554,90 +536,6 @@ iface eth1 inet static
 </emphasis>...</programlisting>
       </blockquote>
     </section>
-
-    <section id="Dhcpd">
-      <title>/etc/dhcpd.conf (MAC Addresses Omitted)</title>
-
-      <blockquote>
-        <para>While this is a little off-topic, I&#39;ve included it to show
-        how to set up DHCP on two interfaces.<programlisting>default-lease-time 67200; max-lease-time 67200;
-get-lease-hostnames on;
-
-group {
-        option subnet-mask 255.255.255.0;
-        option broadcast-address 192.168.1.255;
-        option routers 192.168.1.254;
-        option ntp-servers 192.168.1.254;
-        option domain-name-servers 192.168.1.193;
-        option netbios-name-servers 192.168.1.254;
-        option domain-name &#34;shorewall.net&#34;;
-        option netbios-dd-server 192.168.1.254;
-        option netbios-node-type 8;
-        option netbios-scope &#34;&#34;;
-
-        subnet 192.168.1.0 netmask 255.255.255.0 {
-                range 192.168.1.11 192.168.1.20;
-        }
-
-         host ursa.shorewall.net {
-                hardware ethernet …;
-                fixed-address 192.168.1.5;
-        }
-
-        host eastept1 {
-                hardware ethernet …;
-                fixed-address 192.168.1.7;
-        }
-
-        host tarry {
-                hardware ethernet …;
-                fixed-address 192.168.1.4;
-        }
-
-        host wookie.shorewall.net {
-                hardware ethernet  …;
-                fixed-address 192.168.1.3;
-        }
-
-        host testws.shorewall.net {
-                hardware ethernet …;
-                fixed-address 192.168.1.6;
-        }
-
-        host printer.shorewall.net {
-                hardware ethernet …;
-                fixed-address 192.168.1.10;
-        }
-
-}
-
-group {
-        option subnet-mask 255.255.255.0;
-        option broadcast-address 192.168.3.255;
-        option routers 192.168.3.254;
-        option ntp-servers 192.168.3.254;
-        option domain-name-servers 206.124.146.177;
-        option netbios-name-servers 192.168.3.254;
-        option domain-name &#34;shorewall.net&#34;;
-        option netbios-dd-server 192.168.3.254;
-        option netbios-node-type 8;
-        option netbios-scope &#34;&#34;;
-
-        subnet 192.168.3.0 netmask 255.255.255.0 {
-                range 192.168.3.11 192.168.3.20;
-        }
-
-        host easteplaptop {
-                hardware ethernet …;
-                fixed-address 192.168.3.7;
-        }
-
-        host tipper.shorewall.net {
-                hardware ethernet …;
-                fixed-address 192.168.3.8;
-        }</programlisting></para>
-      </blockquote>
-    </section>
   </section>
 
   <section>
diff --git a/Shorewall-docs2/ports.xml b/Shorewall-docs2/ports.xml
index c87c46ff1..8a6b0cffc 100644
--- a/Shorewall-docs2/ports.xml
+++ b/Shorewall-docs2/ports.xml
@@ -13,7 +13,7 @@
       </author>
     </authorgroup>
 
-    <pubdate>2004-03-27</pubdate>
+    <pubdate>2004-04-24</pubdate>
 
     <copyright>
       <year>2001-2002</year>
@@ -101,14 +101,10 @@ ACCEPT     <emphasis>&#60;source&#62;</emphasis>  <emphasis>&#60;destination&#62
   </section>
 
   <section>
-    <title>ICQ</title>
+    <title>ICQ/AIM</title>
 
     <programlisting>#ACTION    SOURCE    DESTINATION      PROTO      DEST PORT(S)
-ACCEPT     <emphasis>&#60;source&#62;</emphasis>  <emphasis>&#60;destination&#62;</emphasis>    udp        4000
-ACCEPT     <emphasis>&#60;source&#62;</emphasis>  <emphasis>&#60;destination&#62;</emphasis>    tcp        4000:4100</programlisting>
-
-    <para>UDP Port 4000. You will also need to open a range of TCP ports which
-    you can specify to your ICQ client. By default, clients use 4000-4100.</para>
+ACCEPT     <emphasis>&#60;source&#62;</emphasis>  net              tcp        5190</programlisting>
   </section>
 
   <section>
@@ -208,7 +204,16 @@ ACCEPT     <emphasis>&#60;destination&#62;</emphasis>  <emphasis>&#60;source&#62
     <title>SMTP</title>
 
     <programlisting>#ACTION    SOURCE    DESTINATION      PROTO      DEST PORT(S)
-ACCEPT     <emphasis>&#60;source&#62;</emphasis>  <emphasis>&#60;destination&#62;</emphasis>    tcp        25</programlisting>
+ACCEPT     <emphasis>&#60;source&#62;</emphasis>  <emphasis>&#60;destination&#62;</emphasis>    tcp        25     #Insecure SMTP
+ACCEPT     <emphasis>&#60;source&#62;</emphasis>  <emphasis>&#60;destination&#62;</emphasis>    tcp        465    #SMTP over SSL (TLS)</programlisting>
+  </section>
+
+  <section>
+    <title>SNMP</title>
+
+    <programlisting>#ACTION    SOURCE    DESTINATION      PROTO      DEST PORT(S)
+ACCEPT     <emphasis>&#60;source&#62;</emphasis>  <emphasis>&#60;destination&#62;</emphasis>    udp        161:162
+ACCEPT     <emphasis>&#60;source&#62;</emphasis>  <emphasis>&#60;destination&#62;</emphasis>    tcp        161</programlisting>
   </section>
 
   <section>
@@ -275,7 +280,9 @@ ACCEPT     <emphasis>&#60;source&#62;</emphasis>  <emphasis>&#60;destination&#62
   <appendix>
     <title>Revision History</title>
 
-    <para><revhistory><revision><revnumber>1.7</revnumber><date>2004-02-18</date><authorinitials>TE</authorinitials><revremark>Make
+    <para><revhistory><revision><revnumber>1.8</revnumber><date>2004-04-24</date><authorinitials>TE</authorinitials><revremark>Revised
+    ICQ/AIM.</revremark></revision><revision><revnumber>1.8</revnumber><date>2004-04-23</date><authorinitials>TE</authorinitials><revremark>Added
+    SNMP.</revremark></revision><revision><revnumber>1.7</revnumber><date>2004-02-18</date><authorinitials>TE</authorinitials><revremark>Make
     NFS work for everyone.</revremark></revision><revision><revnumber>1.6</revnumber><date>2004-02-14</date><authorinitials>TE</authorinitials><revremark>Add
     PCAnywhere.</revremark></revision><revision><revnumber>1.5</revnumber><date>2004-02-05</date><authorinitials>TE</authorinitials><revremark>Added
     information about VNC viewers in listen mode.</revremark></revision><revision><revnumber>1.4</revnumber><date>2004-01-26</date><authorinitials>TE</authorinitials><revremark>Correct
diff --git a/Shorewall-docs2/shorewall_extension_scripts.xml b/Shorewall-docs2/shorewall_extension_scripts.xml
index 3a34562ce..99a10f6a2 100644
--- a/Shorewall-docs2/shorewall_extension_scripts.xml
+++ b/Shorewall-docs2/shorewall_extension_scripts.xml
@@ -15,7 +15,7 @@
       </author>
     </authorgroup>
 
-    <pubdate>2004-02-04</pubdate>
+    <pubdate>2004-05-04</pubdate>
 
     <copyright>
       <year>2001-2004</year>
@@ -29,7 +29,8 @@
       1.2 or any later version published by the Free Software Foundation; with
       no Invariant Sections, with no Front-Cover, and with no Back-Cover
       Texts. A copy of the license is included in the section entitled
-      <quote><ulink url="GnuCopyright.htm">GNU Free Documentation License</ulink></quote>.</para>
+      <quote><ulink url="GnuCopyright.htm">GNU Free Documentation
+      License</ulink></quote>.</para>
     </legalnotice>
   </articleinfo>
 
@@ -64,7 +65,8 @@
     </listitem>
 
     <listitem>
-      <para>start -- invoked after the firewall has been started or restarted.</para>
+      <para>start -- invoked after the firewall has been started or
+      restarted.</para>
     </listitem>
 
     <listitem>
@@ -92,27 +94,90 @@
     </listitem>
   </itemizedlist>
 
-  <para><emphasis role="bold">If your version of Shorewall doesn&#39;t have
-  the file that you want to use from the above list, you can simply create the
+  <para><emphasis role="bold">If your version of Shorewall doesn't have the
+  file that you want to use from the above list, you can simply create the
   file yourself.</emphasis> You can also supply a script with the same name as
   any of the filter chains in the firewall and the script will be invoked
   after the /etc/shorewall/rules file has been processed but before the
   /etc/shorewall/policy file has been processed.</para>
 
-  <para>Beginning with Shorewall 2.0.0, you can also define a
-  <emphasis>common action</emphasis> to be performed immediately before a
-  policy of ACCEPT, DROP or REJECT is applied. Separate actions can be
-  assigned to each policy type so for example you can have a different common
-  action for DROP and REJECT policies. The most common usage of common actions
-  is to silently drop traffic that you don&#39;t wish to have logged by the
-  policy.</para>
+  <para>There are a couple of special considerations for commands in extension
+  scripts:</para>
+
+  <itemizedlist>
+    <listitem>
+      <para>When you want to run <command>iptables</command>, use the command
+      <command>run_iptables</command> instead. <command>run_iptables</command>
+      will run the iptables utility passing the arguments to
+      <command>run_iptables</command> and if the command fails, the firewall
+      will be stopped (Shorewall version &lt; 2.0.2 Beta 1 or there is no
+      <filename>/var/lib/shorewall/restore</filename> file) or restored
+      (Shorewall version &gt;= 2.0.2 Beta 1 and
+      <filename>/var/lib/shorewall/restore</filename> exists).</para>
+    </listitem>
+
+    <listitem>
+      <para>With Shorewall 2.0.2 Beta 1 and later versions, if you run
+      commands other than <command>iptables</command> that must be re-run in
+      order to restore the firewall to its current state then you must save
+      the commands to the <firstterm>restore file</firstterm>. The restore
+      file is a temporary file in <filename
+      class="directory">/var/lib/shorewall</filename> that will be renamed
+      <filename>/var/lib/shorewall/restore-base</filename> at the successful
+      completion of the Shorewall command. The <command>shorewall
+      save</command> command combines
+      <filename>/var/lib/shorewall/restore-base</filename> with the output of
+      <command>iptables-save</command> to produce the
+      <filename>/var/lib/shorewall/restore</filename> script.</para>
+
+      <para>Here are three functions that are useful when running commands
+      other than <command>iptables</command>:</para>
+
+      <orderedlist>
+        <listitem>
+          <para><emphasis role="bold">save_command() </emphasis>-- saves the
+          passed command to the restore file.</para>
+
+          <para>Example: <programlisting>save_command echo Operation Complete</programlisting></para>
+
+          <para>That command would simply write "echo Operation Complete" to
+          the restore file.</para>
+        </listitem>
+
+        <listitem>
+          <para><emphasis role="bold">run_and_save_command()</emphasis> --
+          saves the passed command to the restore file then executes it. The
+          return value is the exit status of the command. Example:
+          <programlisting>run_and_save_command "echo 1 &gt; /proc/sys/net/ipv4/icmp_echo_ignore_all"</programlisting></para>
+
+          <para>Note that as in this example, when the command involves file
+          redirection then the entire command must be enclosed in quotes. This
+          applies to all of the functions described here.</para>
+        </listitem>
+
+        <listitem>
+          <para><emphasis role="bold">ensure_and_save_command()</emphasis> --
+          runs the passed command. If the command fails, the firewall is
+          restored to it's prior saved state and the operation is terminated.
+          If the command succeeds, the command is written to the restore
+          file</para>
+        </listitem>
+      </orderedlist>
+    </listitem>
+  </itemizedlist>
+
+  <para>Beginning with Shorewall 2.0.0, you can also define a <emphasis>common
+  action</emphasis> to be performed immediately before a policy of ACCEPT,
+  DROP or REJECT is applied. Separate <ulink
+  url="User_defined_Actions.html">actions</ulink> can be assigned to each
+  policy type so for example you can have a different common action for DROP
+  and REJECT policies. The most common usage of common actions is to silently
+  drop traffic that you don't wish to have logged by the policy.</para>
 
   <para>As released, Shorewall defines a number of actions which are cataloged
-  in the <filename>/etc/shorewall/actions.std</filename> file. The default
-  <filename>/etc/shorewall/actions</filename> file contains <quote>INCLUDE
-  /etc/shorewall/actions.std</quote> so that the Shorewall-defined actions are
-  included by default. Among the entries in <filename>/etc/shorewall/actions.std</filename>
-  are:</para>
+  in the <filename>/usr/share/shorewall/actions.std</filename> file. That file
+  is processed before /etc/shorewall/actions. Among the entries in
+  <filename>/usr/share/shorewall/actions.std</filename> are:</para>
 
   <programlisting>Drop:DROP
 Reject:REJECT</programlisting>
@@ -120,21 +185,20 @@ Reject:REJECT</programlisting>
   <para>So the action named <quote>Drop</quote> is performed immediately
   before DROP policies are applied and the action called <quote>Reject</quote>
   is performed before REJECT policies are applied. These actions are defined
-  in the files <filename>/etc/shorewall/action.Drop</filename> and
-  <filename>/etc/shorewall/action.Reject</filename> respectively.</para>
+  in the files <filename>/usr/share/shorewall/action.Drop</filename> and
+  <filename>/usr/share/shorewall/action.Reject</filename> respectively.</para>
 
   <para>You can override these defaults with entries in your
   /etc/shorewall/actions file. For example, if that file were to contain
   <quote>MyDrop:DROP</quote> then the common action for DROP policies would
-  become <quote>MyDrop</quote>. For an example, see <ulink url="myfiles.htm">my
-  configuration files</ulink>.</para>
+  become <quote>MyDrop</quote>.</para>
 
   <para>One final note. The chain created to perform an action has the same
   name as the action. You can use an extension script by that name to add
-  rules to the action&#39;s chain in the same way as you can any other chain.
-  So if you create the new action <quote>Dagger</quote> and define it in
+  rules to the action's chain in the same way as you can any other chain. So
+  if you create the new action <quote>Dagger</quote> and define it in
   <filename>/etc/shorewall/action.Dagger</filename>, you can also have an
   extension script named <filename>/etc/shorewall/Dagger</filename> that can
-  add rules to the <quote>Dagger</quote> chain that can&#39;t be created using
+  add rules to the <quote>Dagger</quote> chain that can't be created using
   <filename>/etc/shorewall/action.Dagger</filename>.</para>
 </article>
\ No newline at end of file
diff --git a/Shorewall-docs2/shorewall_features.xml b/Shorewall-docs2/shorewall_features.xml
index 8044167fb..4450d41d8 100644
--- a/Shorewall-docs2/shorewall_features.xml
+++ b/Shorewall-docs2/shorewall_features.xml
@@ -13,7 +13,7 @@
       <surname>Eastep</surname>
     </author>
 
-    <pubdate>2004-04-04</pubdate>
+    <pubdate>2004-05-07</pubdate>
 
     <copyright>
       <year>2001-2004</year>
@@ -27,7 +27,8 @@
       1.2 or any later version published by the Free Software Foundation; with
       no Invariant Sections, with no Front-Cover, and with no Back-Cover
       Texts. A copy of the license is included in the section entitled
-      <quote><ulink url="GnuCopyright.htm">GNU Free Documentation License</ulink></quote>.</para>
+      <quote><ulink url="GnuCopyright.htm">GNU Free Documentation
+      License</ulink></quote>.</para>
     </legalnotice>
   </articleinfo>
 
@@ -36,7 +37,7 @@
 
     <itemizedlist>
       <listitem>
-        <para>Uses Netfilter&#39;s connection tracking facilities for stateful
+        <para>Uses Netfilter's connection tracking facilities for stateful
         packet filtering.</para>
       </listitem>
 
@@ -54,9 +55,10 @@
           </listitem>
 
           <listitem>
-            <para>Allows you to partitions the network into <ulink
+            <para>Allows you to partition the network into <ulink
             url="Documentation.htm#Zones">zones</ulink> and gives you complete
-            control over the connections permitted between each pair of zones.</para>
+            control over the connections permitted between each pair of
+            zones.</para>
           </listitem>
 
           <listitem>
@@ -78,26 +80,30 @@
 
       <listitem>
         <para>A <emphasis role="bold">GUI</emphasis> is available via Webmin
-        1.060 and later (<ulink url="http://www.webmin.com">http://www.webmin.com</ulink>)</para>
+        1.060 and later (<ulink
+        url="http://www.webmin.com">http://www.webmin.com</ulink>)</para>
       </listitem>
 
       <listitem>
         <para>Extensive <emphasis role="bold"><ulink
-        url="Documentation_Index.html">documentation</ulink></emphasis>
-        included in the .tgz and .rpm downloads.</para>
+        url="Documentation_Index.html">documentation</ulink></emphasis> in
+        available in both XML and HTML formats.</para>
       </listitem>
 
       <listitem>
         <para><emphasis role="bold">Flexible address management/routing
-        support</emphasis> (and you can use all types in the same firewall):</para>
+        support</emphasis> (and you can use all types in the same
+        firewall):</para>
 
         <itemizedlist>
           <listitem>
-            <para><ulink url="Documentation.htm#Masq">Masquerading/SNAT</ulink>.</para>
+            <para><ulink
+            url="Documentation.htm#Masq">Masquerading/SNAT</ulink>.</para>
           </listitem>
 
           <listitem>
-            <para><ulink url="FAQ.htm#faq1">Port Forwarding (DNAT)</ulink>.</para>
+            <para><ulink url="FAQ.htm#faq1">Port Forwarding
+            (DNAT)</ulink>.</para>
           </listitem>
 
           <listitem>
@@ -107,6 +113,11 @@
           <listitem>
             <para><ulink url="ProxyARP.htm">Proxy ARP</ulink>.</para>
           </listitem>
+
+          <listitem>
+            <para><ulink url="netmap.html">NETMAP</ulink> (requires a 2.6
+            kernel or a patched 2.4 kernel).</para>
+          </listitem>
         </itemizedlist>
       </listitem>
 
@@ -146,15 +157,16 @@
           </listitem>
 
           <listitem>
-            <para><ulink url="PPTP.htm">PPTP</ulink> clients and Servers.</para>
+            <para><ulink url="PPTP.htm">PPTP</ulink> clients and
+            Servers.</para>
           </listitem>
         </itemizedlist>
       </listitem>
 
       <listitem>
         <para>Support for <ulink url="traffic_shaping.htm"><emphasis
-        role="bold">Traffic</emphasis> Control/<emphasis role="bold">Shaping</emphasis></ulink>
-        integration.</para>
+        role="bold">Traffic</emphasis> Control/<emphasis
+        role="bold">Shaping</emphasis></ulink> integration.</para>
       </listitem>
 
       <listitem>
@@ -171,7 +183,7 @@
           <listitem>
             <para>Includes automated <ulink url="Install.htm">install,
             upgrade, fallback and uninstall facilities</ulink> for users who
-            can&#39;t use or choose not to use the RPM or Debian packages.</para>
+            can't use or choose not to use the RPM or Debian packages.</para>
           </listitem>
 
           <listitem>
@@ -184,7 +196,8 @@
 
       <listitem>
         <para><ulink url="MAC_Validation.html">Media Access Control (<emphasis
-        role="bold">MAC</emphasis>) Address <emphasis role="bold">Verification</emphasis></ulink>.</para>
+        role="bold">MAC</emphasis>) Address <emphasis
+        role="bold">Verification</emphasis></ulink>.</para>
       </listitem>
 
       <listitem>
@@ -193,8 +206,9 @@
       </listitem>
 
       <listitem>
-        <para><ulink url="bridge.html"><emphasis role="bold">Bridge</emphasis>/Firewall
-        support</ulink> (requires a 2.6 kernel or a patched 2.4 kernel).</para>
+        <para><ulink url="bridge.html"><emphasis
+        role="bold">Bridge</emphasis>/Firewall support</ulink> (requires a 2.6
+        kernel or a patched 2.4 kernel).</para>
       </listitem>
     </itemizedlist>
   </section>
diff --git a/Shorewall-docs2/shorewall_logging.xml b/Shorewall-docs2/shorewall_logging.xml
index 9f0687241..b6660ecac 100644
--- a/Shorewall-docs2/shorewall_logging.xml
+++ b/Shorewall-docs2/shorewall_logging.xml
@@ -15,10 +15,10 @@
       </author>
     </authorgroup>
 
-    <pubdate>2003-12-18</pubdate>
+    <pubdate>2004-04-25</pubdate>
 
     <copyright>
-      <year>2001 - 2003</year>
+      <year>2001 - 2004</year>
 
       <holder>Thomas M. Eastep</holder>
     </copyright>
@@ -142,7 +142,7 @@
     </section>
 
     <section>
-      <title>Configuring a Separate Log for Shorewall Messages</title>
+      <title>Configuring a Separate Log for Shorewall Messages (ulogd)</title>
 
       <para>There are a couple of limitations to syslogd-based logging:</para>
 
diff --git a/Shorewall-docs2/shorewall_quickstart_guide.xml b/Shorewall-docs2/shorewall_quickstart_guide.xml
index 5be6a3d59..f951bb0b3 100644
--- a/Shorewall-docs2/shorewall_quickstart_guide.xml
+++ b/Shorewall-docs2/shorewall_quickstart_guide.xml
@@ -15,7 +15,7 @@
       </author>
     </authorgroup>
 
-    <pubdate>2004-02-04</pubdate>
+    <pubdate>2004-04-16</pubdate>
 
     <copyright>
       <year>2001-2004</year>
@@ -36,6 +36,12 @@
   <para>With thanks to Richard who reminded me once again that we must all
   first walk before we can run.</para>
 
+  <para>The French Translations of the single-IP guides are courtesy of
+  Patrice Vetsel. Updated for Shorewall 2.0 by Fabien Demassieux.</para>
+
+  <para>The French Translation of the Shorewall Setup Guide is courtesy of
+  Fabien Demassieux.</para>
+
   <section id="Guides">
     <title>The Guides</title>
 
@@ -50,11 +56,14 @@
       you want to learn more about Shorewall than is explained in these simple
       guides then the <ulink url="shorewall_setup_guide.htm">Shorewall Setup
       Guide</ulink> is for you.<itemizedlist><listitem><para><ulink
-      url="standalone.htm">Standalone</ulink> Linux System</para></listitem><listitem><para><ulink
+      url="standalone.htm">Standalone</ulink> Linux System (<ulink
+      url="standalone_fr.html">Version Française</ulink>)</para></listitem><listitem><para><ulink
       url="two-interface.htm">Two-interface</ulink> Linux System acting as a
-      firewall/router for a small local network</para></listitem><listitem><para><ulink
+      firewall/router for a small local network (<ulink
+      url="two-interface_fr.html">Version Française</ulink>)</para></listitem><listitem><para><ulink
       url="three-interface.htm">Three-interface</ulink> Linux System acting as
-      a firewall/router for a small local network and a DMZ.</para></listitem></itemizedlist></para>
+      a firewall/router for a small local network and a DMZ.. (<ulink
+      url="three-interface_fr.html">Version Française</ulink>)</para></listitem></itemizedlist></para>
     </section>
 
     <section>
@@ -64,7 +73,8 @@
       (See Index Below) outlines the steps necessary to set up a firewall
       where there are multiple public IP addresses involved or if you want to
       learn more about Shorewall than is explained in the single-address
-      guides above </para>
+      guides above (<ulink url="shorewall_setup_guide_fr.htm">Version
+      Française</ulink>)</para>
     </section>
   </section>
 </article>
\ No newline at end of file
diff --git a/Shorewall-docs2/shorewall_setup_guide_fr.xml b/Shorewall-docs2/shorewall_setup_guide_fr.xml
index 206773ffa..9772f318f 100644
--- a/Shorewall-docs2/shorewall_setup_guide_fr.xml
+++ b/Shorewall-docs2/shorewall_setup_guide_fr.xml
@@ -2,8 +2,10 @@
 <!DOCTYPE article PUBLIC "-//OASIS//DTD DocBook XML V4.2//EN"
 "http://www.oasis-open.org/docbook/xml/4.2/docbookx.dtd">
 <article id="IPIP">
+  <!--$Id$-->
+
   <articleinfo>
-    <title>Guide de Configuration de Shorewall</title>
+    <title>Shorewall Setup Guide</title>
 
     <authorgroup>
       <author>
@@ -19,10 +21,10 @@
       </author>
     </authorgroup>
 
-    <pubdate>2003-12-30</pubdate>
+    <pubdate>2004-04-03</pubdate>
 
     <copyright>
-      <year>2001-2003</year>
+      <year>2001-2004</year>
 
       <holder>Thomas M. Eastep</holder>
     </copyright>
@@ -32,122 +34,133 @@
       document under the terms of the GNU Free Documentation License, Version
       1.2 or any later version published by the Free Software Foundation; with
       no Invariant Sections, with no Front-Cover, and with no Back-Cover
-      Texts. A copy of the license is included in the section entitled &#34;<ulink
-      url="GnuCopyright.htm">GNU Free Documentation License</ulink>&#34;.</para>
+      Texts. A copy of the license is included in the section entitled
+      <quote><ulink url="GnuCopyright.htm">GNU Free Documentation
+      License</ulink></quote>.</para>
     </legalnotice>
   </articleinfo>
 
   <note>
-    <para><emphasis role="underline">Notes du traducteur :</emphasis></para>
-
-    <para>Je remercie l&#39;équipe Shorewall, pour ce firewall formidable et
-    l&#39;aide personnelle que m&#39;a donné Tom Eastep.</para>
-
-    <para>J&#39;espère que cette traduction vous aidera à utiliser
-    efficacement ce firewall.</para>
-
-    <para>Toutefois, si ce manuel comporte des lacunes, des incohérences ou
-    afin d&#39;améliorer sa compréhension, n&#39;hésitez pas à me contacter
-    <ulink url="mailto:fd03x@wanadoo.fr">fabien demassieux</ulink></para>
+    <para><emphasis role="underline">Notes du traducteur :</emphasis> J'espère
+    vous faciliter l'accès et la prise en main d'un firewall performant,
+    efficace, adaptable et facile d'utilisation. Donc félicitations pour la
+    qualité du travail et la disponibilité offerte par Thomas M. Eastep. Si
+    vous trouvez des erreurs ou des améliorations à apporter vous pouvez me
+    contacter <ulink url="mailto:fd03x@wanadoo.fr">Fabien
+    Demassieux</ulink></para>
   </note>
 
-  <section id="Documentation">
+  <section id="Introduction">
     <title>Introduction</title>
 
     <para>Ce guide est destiné aux utilisateurs qui configurent Shorewall dans
-    un environnement ou un ensemble d&#39;adresses IP publiques doivent être
+    un environnement ou un ensemble d'adresses IP publiques doivent être
     prises en compte ou à ceux qui souhaitent en savoir plus à propos de
-    Shorewall que ce que contient le guide pour une utilisation Simple
-    Adresse. Parce que le champ d&#39;utilisation est si élevé, le guide vous
-    donnera les indications générales à suivre et vous renseignera sur
-    d&#39;autres ressources si nécessaire.</para>
+    Shorewall que ce que contient le guide pour une utilisation avec une
+    <ulink url="shorewall_quickstart_guide.htm">adresse ID unique</ulink>.
+    Parce que le champ d'utilisation est si important, le guide vous donnera
+    les indications générales à suivre et vous renseignera sur d'autres
+    ressources si nécessaire.</para>
 
     <caution>
-      <para>Si vous utilisez LEAF Bering, votre configuration Shorewall
-      n&#39;est PAS ce que je publie -- Je suggère de prendre en considération
-      l&#39;installation de Shorewall LPR disponible sur le site de
-      shorewall.net avant de poursuivre.</para>
+      <para>Si vous utilisez LEAF Bering, votre configuration Shorewall n'est
+      PAS ce que je publie -- Je suggère de prendre en considération
+      l'installation de Shorewall LPR disponible sur le site de shorewall.net
+      avant de poursuivre.</para>
     </caution>
 
-    <para>Shorewall nécessite que le package iproute/iproute2 soit installé
-    (sur RedHat, le package s&#39;appelle <emphasis>iproute</emphasis>). Vous
-    pouvez voir si le package est installé grâce au programme <emphasis
-    role="bold">ip</emphasis> sur votre système firewall. En tant que root,
-    vous pouvez utiliser la commande &#39;which&#39; pour vérifier que le
-    programme est présent:</para>
+    <section>
+      <title>Pré-requis</title>
 
-    <programlisting>     [root@gateway root]# which ip
-     /sbin/ip
-     [root@gateway root]#
-</programlisting>
+      <para>Shorewall a besoin que le package
+      <command>iproute</command>/<command>iproute2</command> soit installé
+      (avec la distribution <trademark>RedHat</trademark>, le package
+      s'appelle <command>iproute</command>). Vous pouvez vérifier si le
+      package est installé par la présence du programme <command>ip</command>
+      sur votre firewall. En tant que <systemitem
+      class="username">root</systemitem>, vous pouvez utiliser la commande
+      <command>which</command> pour cela:</para>
 
-    <para>Je vous recommande de parcourir en premier le guide pour vous
-    familiariser avec ce que cela implique puis de le reprendre afin de
-    modifier votre configuration. Les Points de configuration à changer sont
-    précédés du symbole <inlinegraphic fileref="images/BD21298_.gif" /></para>
+      <programlisting>[root@gateway root]# <command>which ip</command>
+/sbin/ip
+[root@gateway root]#</programlisting>
+    </section>
 
-    <caution>
-      <para>Si vous éditez vos fichiers de configuration sur un système
-      Windows, vous devez les sauver comme des fichiers Unix si votre éditeur
-      supporte cette option sinon vous devez les faire passer par dos2unix
-      avant d&#39;essayer de les utiliser. De la même manière, si vous copiez
-      un fichier de configuration depuis votre disque dur Windows vers une
-      disquette, vous devez lancer dos2unix sur la copie avant de
-      l&#39;utiliser avec Shorewall.</para>
+    <section>
+      <title>Avant de commencer</title>
 
-      <itemizedlist>
-        <listitem>
-          <para><ulink url="http://www.simtel.net/pub/pd/51438.html">Windows
-          Version of dos2unix</ulink></para>
-        </listitem>
+      <para>Je recommande en premier la lecture complète du guide afin de se
+      familiariser avec les tenants et aboutissants puis de revenir sur les
+      modifications de votre configuration adapté à votre système.</para>
 
-        <listitem>
-          <para><ulink url="http://www.megaloman.com/%7Ehany/software/hd2u/">Linux
-          Version of dos2unix</ulink></para>
-        </listitem>
-      </itemizedlist>
-    </caution>
+      <caution>
+        <para>Si vous éditez vos fichiers de configuration sur un système
+        <trademark>Windows</trademark>, vous devez les sauver comme des
+        fichiers <trademark>Unix</trademark> si votre éditeur supporte cette
+        option sinon vous devez les convertir avec <command>dos2unix</command>
+        avant d'essayer de les utiliser. De la même manière, si vous copiez un
+        fichier de configuration depuis votre disque dur
+        <trademark>Windows</trademark> vers une disquette, vous devez lancer
+        <command>dos2unix</command> sur la copie avant de l'utiliser avec
+        Shorewall.<itemizedlist>
+            <listitem>
+              <para><ulink
+              url="http://www.simtel.net/pub/pd/51438.html"><trademark>Windows</trademark>
+              Version of <command>dos2unix</command></ulink></para>
+            </listitem>
+
+            <listitem>
+              <para><ulink
+              url="http://www.megaloman.com/%7Ehany/software/hd2u/">Linux
+              Version of <command>dos2unix</command></ulink></para>
+            </listitem>
+          </itemizedlist></para>
+      </caution>
+    </section>
   </section>
 
-  <section>
+  <section id="Concepts">
     <title>Les Concepts de Shorewall</title>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> Les fichiers de
-    configuration de Shorewall se trouvent dans le répertoire /etc/shorewall
-    -- pour la plus par des paramétrages, vous avez juste besoin de
-    quelques-uns d&#39;entre eux comme cela est décrit dans le&#x00A0; manuel.
-    Des squelettes de fichiers sont créés durant La procédure
-    d&#39;installation de Shorewall.</para>
+    <para><inlinegraphic fileref="images/BD21298_.gif" /></para>
+
+    <para>Les fichiers de configuration de Shorewall se trouvent dans le
+    répertoire <filename class="directory">/etc/shorewall</filename> -- pour
+    la plus par des paramétrages, vous avez juste besoin de quelques-uns
+    d'entre eux comme cela est décrit dans le manuel. Des squelettes de
+    fichiers sont créés durant <ulink url="Install.htm">la procédure
+    d'installation de Shorewall</ulink>.</para>
 
     <para>Comme chaque fichier est abordé, je vous suggère de regarder celui
     de votre système -- chaque fichier contient des instructions détaillées de
-    configuration et d&#39;autres des entrées par défaut.</para>
+    configuration et d'autres des entrées par défaut.</para>
 
-    <para>Shorewall voit le réseau ou il opère comme composé d&#39;un ensemble
-    de zones. Dans la configuration par défaut, les zones suivantes sont
-    utilisées:</para>
+    <para>Shorewall voit le réseau où il fonctionne, comme un ensemble de
+    zones. Dans la configuration par défaut, les noms des zones suivantes sont
+    utilisés:</para>
 
     <table>
-      <title>Les Zones</title>
+      <title>Zones</title>
 
       <tgroup cols="2">
         <tbody>
           <row>
-            <entry align="left"><emphasis role="bold">Nom</emphasis></entry>
+            <entry align="left"><emphasis role="bold">Name</emphasis></entry>
 
-            <entry align="left" role="underline"><emphasis role="bold">Description</emphasis></entry>
+            <entry align="left" role="underline"><emphasis
+            role="bold">Description</emphasis></entry>
           </row>
 
           <row>
             <entry>net</entry>
 
-            <entry>L&#39;internet</entry>
+            <entry>L'internet</entry>
           </row>
 
           <row>
             <entry>loc</entry>
 
-            <entry>Votre Réseau locale</entry>
+            <entry>Votre Réseau local</entry>
           </row>
 
           <row>
@@ -159,38 +172,42 @@
       </tgroup>
     </table>
 
-    <para>Les Zones sont définies dans le fichier <ulink
-    url="Documentation.htm#Zones">/etc/shorewall/zones</ulink>.</para>
+    <para>Les Zones sont définies dans le fichier <filename><ulink
+    url="Documentation.htm#Zones"><filename>/etc/shorewall/zones</filename></ulink></filename>.</para>
 
     <para>Shorewall reconnaît aussi le système firewall comme sa propre zone -
     par défaut, le firewall lui-même est connu sous le nom <emphasis
-    role="bold">fw</emphasis> cela peut être modifié dans le fichier<ulink
-    url="Documentation.htm#Config"> /etc/shorewall/shorewall.conf</ulink> .
+    role="bold">fw</emphasis>, mais cela peut être modifié dans le fichier
+    <ulink
+    url="Documentation.htm#Config"><filename>/etc/shorewall/shorewall.conf</filename></ulink>.
     Dans ce guide, le nom par défaut (<emphasis role="bold">fw</emphasis>)
     sera utilisé.</para>
 
-    <para>Mise à par <emphasis role="bold">fw</emphasis>, Shorewall
-    n&#39;attache aucune importance au nom des zones. Les Zones sont
-    entièrement ce que VOUS en faites. Cela veut dire que vous ne devez pas
-    vous attendre à ce que Shorewall fasse quelque chose de spécial &#34;car
-    il s&#39;agit de la zone Internet&#34; ou &#34;car c&#39;est la zone
-    DMZ&#34;.</para>
+    <para>Mise à par <emphasis role="bold">fw</emphasis>, Shorewall n'attache
+    aucune importance au nom des zones. Les Zones sont entièrement ce que VOUS
+    en faites. Cela veut dire que vous ne devez pas vous attendre à ce que
+    Shorewall fasse quelque chose de spécial <quote>car il s'agit de la zone
+    Internet</quote> ou <quote>car c'est la zone DMZ</quote>.</para>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> Editez le fichier
-    /etc/shorewall/zones et faites tout changement qui s&#39;impose.</para>
+    <para><inlinegraphic fileref="images/BD21298_.gif" /></para>
+
+    <para>Éditez le fichier /etc/shorewall/zones file et faites tous
+    changements qui s'imposent.</para>
 
     <para>Les Règles qui concernent le trafic à autoriser ou à refuser sous
     exprimés en terme de Zones.</para>
 
     <itemizedlist>
       <listitem>
-        <para>Vous désignez les Polices par défaut entre une zone et une autre
-        dans le fichier <ulink url="Documentation.htm#Policy">/etc/shorewall/policy</ulink>.</para>
+        <para>Vous désignez les politiques par défaut entre une zone et une
+        autre dans le fichier <filename><ulink
+        url="Documentation.htm#Policy">/etc/shorewall/policy</ulink></filename>.</para>
       </listitem>
 
       <listitem>
-        <para>Vous définissez les exceptions à ces Polices par défaut dans le
-        fichier <ulink url="Documentation.htm#Rules">/etc/shorewall/rules</ulink>.</para>
+        <para>Vous définissez les exceptions à ces politiques par défaut dans
+        le fichier <filename><ulink
+        url="Documentation.htm#Rules">/etc/shorewall/rules</ulink></filename>.</para>
       </listitem>
     </itemizedlist>
 
@@ -198,10 +215,10 @@
     <ulink url="http://www.netfilter.org">Netfilter</ulink>. Netfilter
     implémente une <ulink
     url="http://www.cs.princeton.edu/~jns/security/iptables/iptables_conntrack.html">fonction
-    de tracking</ulink> qui autorise ce qui est souvent désigné comme
-    une&#x00A0; inspection déclarée de paquets. Les propriétés de déclaration
-    permettent au firewall d&#39;être définie en terme de connexions plutôt
-    qu&#39;en terme de paquet. Avec Shorewall, vous:</para>
+    de tracking</ulink> qui autorise ce qui est souvent désigné comme une
+    inspection déclarée de paquets. Les propriétés de déclaration permettent
+    au firewall d'être définie en terme de connexions plutôt qu'en terme de
+    paquet. Avec Shorewall, vous:</para>
 
     <orderedlist>
       <listitem>
@@ -213,122 +230,76 @@
       </listitem>
 
       <listitem>
-        <para>Si la POLICE de la zone client vers la zone destination est ce
-        que vous souhaitez pour cette paire client/serveur, vous n&#39;avez
+        <para>Si la politique de la zone client vers la zone destination est
+        ce que vous souhaitez pour cette paire client/serveur, vous n'avez
         besoin de rien de plus.</para>
       </listitem>
 
       <listitem>
-        <para>Si la POLICE n&#39;est pas ce que vous souhaitez, alors vous
+        <para>Si la politique n'est pas ce que vous souhaitez, alors vous
         devez ajouter une règle. Cette règle est exprimé en terme de zone
         client et de zone serveur.</para>
       </listitem>
     </orderedlist>
 
-    <para>Si les connexions d&#39;un certain type sont autorisés de la zone A
-    au firewall et sont aussi autorisés du firewall à la zone B cela&#x00A0;
-    <emphasis role="bold">NE VEUT PAS dire que ces connections sont autorisés
-    de la zone A à la zone B</emphasis>. Cela veut plutôt dire que vous avez
-    un proxy qui tourne sur le firewall qui accepte les connections de la zone
-    A et qui ensuite établit ces propres connections du firewall à&#x00A0; la
-    zone B.</para>
+    <para>Si les connexions d'un certain type sont autorisés de la zone A au
+    firewall et sont aussi autorisés du firewall à la zone B cela <emphasis
+    role="bold">NE VEUT PAS dire que ces connections sont autorisés de la zone
+    A à la zone B</emphasis>. Cela veut plutôt dire que vous avez un proxy qui
+    tourne sur le firewall qui accepte les connections de la zone A et qui
+    ensuite établit ces propres connections du firewall à la zone B.</para>
 
     <para>Pour chaque requête de connexion sur le firewall, la requête est
-    d&#39;abord évalué à travers le fichier /etc/shorewall/rules file. Si
-    aucune règle dans ce fichier ne correspond, la connexion interroge ensuite
-    la première police dans /etc/shorewall/policy qui correspond à la requête
-    et l&#39;applique. Si cette police est REJECT ou DROP, la requête est a
-    nouveau évaluée à travers les règles du fichier /etc/shorewall/common.def.</para>
+    d'abord évalué à travers le fichier
+    <filename>/etc/shorewall/rules</filename>. Si aucune règle dans ce fichier
+    ne correspond, la connexion interroge ensuite la première politique dans
+    <filename>/etc/shorewall/policy</filename> qui correspond à la requête et
+    l'applique. Si cette politique est REJECT ou DROP, la requête est a
+    nouveau évaluée à travers les règles du fichier
+    <filename>/etc/shorewall/common.def</filename>.</para>
 
-    <para>Le fichier de défaut /etc/shorewall/policy a les polices suivantes:</para>
+    <para>Le fichier de défaut <filename>/etc/shorewall/policy</filename> a
+    les politiques suivantes:</para>
 
-    <table>
-      <title>/etc/shorewall/policy</title>
+    <programlisting>#SOURCE ZONE     DESTINATION ZONE    POLICY     LOG     LIMIT:BURST
+#                                               LEVEL
+fw               net                 ACCEPT
+net              all                 DROP       info
+all              all                 REJECT     info</programlisting>
 
-      <tgroup cols="5">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">SOURCE ZONE</emphasis></entry>
-
-            <entry><emphasis role="bold">DESTINATION ZONE</emphasis></entry>
-
-            <entry><emphasis role="bold">POLICY</emphasis></entry>
-
-            <entry><emphasis role="bold">LOG LEVEL</emphasis></entry>
-
-            <entry><emphasis role="bold">LIMIT:BURST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>fw</entry>
-
-            <entry>net</entry>
-
-            <entry>ACCEPT</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-
-          <row>
-            <entry>net</entry>
-
-            <entry>all</entry>
-
-            <entry>DROP</entry>
-
-            <entry>info</entry>
-
-            <entry></entry>
-          </row>
-
-          <row>
-            <entry>all</entry>
-
-            <entry>all</entry>
-
-            <entry>REJECT</entry>
-
-            <entry>info</entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para>La police précédente:</para>
+    <para>La politique précédente:</para>
 
     <orderedlist>
       <listitem>
-        <para>Permet toutes les connexions de votre réseau local vers Internet</para>
+        <para>Permet toutes les connexions de votre réseau local vers
+        Internet</para>
       </listitem>
 
       <listitem>
-        <para>Drop (ignore) toutes les connexions d&#39;Internet vers le
-        firewall ou votre réseau local et génère un message au niveau info
-        (ici se trouve la description des niveaux de log).</para>
+        <para>Drop (ignore) toutes les connexions d'Internet vers le firewall
+        ou votre réseau local et génère un message au niveau info (ici se
+        trouve la description des niveaux de log).</para>
       </listitem>
 
       <listitem>
-        <para>Rejette toutes les autres connexions et génère un message au
-        niveau info. Quant la requête est rejeté, le firewall retourne un RST
-        (si le protocole est TCP) ou un ICMP port-unreachable paquet pour les
-        autres protocoles.</para>
+        <para>Reject (rejette) toutes les autres connexions et génère un
+        message au niveau info. Quant la requête est rejeté, le firewall
+        retourne un RST (si le protocole est TCP) ou un ICMP port-unreachable
+        paquet pour les autres protocoles.</para>
       </listitem>
     </orderedlist>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> Maintenant, éditez
-    votre /etc/shorewall/policy et apportez tous les changements que vous
-    souhaitez.</para>
+    <para><inlinegraphic fileref="images/BD21298_.gif" /></para>
+
+    <para>Maintenant, éditez votre <filename>/etc/shorewall/policy
+    </filename>et apportez tous les changements que vous souhaitez.</para>
   </section>
 
-  <section>
+  <section id="Interfaces">
     <title>Interfaces Réseau</title>
 
     <para>Pour le reste de ce guide, nous utiliserons le schéma ci-dessous.
-    Bien qu&#39;il ne puisse correspondre à votre propre réseau, il peut être
+    Bien qu'il ne puisse correspondre à votre propre réseau, il peut être
     utilisé pour illustrer les aspects importants de la configuration de
     Shorewall.</para>
 
@@ -349,265 +320,199 @@
       </listitem>
 
       <listitem>
-        <para>Tous les systèmes du FAI vers l&#39;extérieur et qui englobe la
-        Zone Internet.</para>
+        <para>Tous les systèmes du FAI vers l'extérieur et qui englobe la Zone
+        Internet.</para>
       </listitem>
     </itemizedlist>
 
     <graphic align="center" fileref="images/dmz3.png" />
 
-    <para>La façon la plus simple pour définir les zones est d&#39;associer le
-    nom de la zone (définie précédemment dans&#x00A0; /etc/shorewall/zones)
-    avec une interface réseau.</para>
+    <para>La façon la plus simple pour définir les zones est d'associer le nom
+    de la zone (définie précédemment dans /etc/shorewall/zones) avec une
+    interface réseau. C'est fait dans le fichier <ulink
+    url="Documentation.htm#Interfaces">/etc/shorewall/interfaces</ulink>. Le
+    firewall illustré ci-dessus à trois interfaces. Si la connexion se fait à
+    travers un câble ou un DSL <quote>Modem</quote>, l'<emphasis>Interface
+    Externe</emphasis> sera l'adaptateur qui est branché au
+    <quote>Modem</quote> (e.g., <filename class="devicefile">eth0</filename>)
+    tant que vous ne vous n'utilisez pas le Point-to-Point Protocol over
+    Ethernet (PPPoE) ou le Point-to-Point Tunneling Protocol(PPTP) dans ce cas
+    l'Interface Externe sera de type ppp (e.g., <filename
+    class="devicefile">ppp0</filename>). Si vous utilisez un modem classique,
+    votre Interface externe sera également <filename
+    class="devicefile">ppp0</filename>. Si vous utilisez ISDN, votre Interface
+    Externe sera <filename class="devicefile">ippp0</filename>.</para>
 
-    <para>C&#39;est fait dans le fichier <ulink
-    url="Documentation.htm#Interfaces">/etc/shorewall/interfaces</ulink>.</para>
+    <para><inlinegraphic fileref="images/BD21298_.gif" /></para>
 
-    <para>Le firewall illustré ci-dessus à trois interfaces. Si la connexion
-    se fait à travers un câble ou un &#34;modem&#34; DSL , l&#39;Interface
-    Externe sera l&#39;adaptateur qui est branché au &#34;Modem&#34; (e.g.,
-    <emphasis role="bold">eth0</emphasis>)&#x00A0;tant que vous ne vous
-    n&#39;utilisez pas le Point-to-Point Protocol over Ethernet (PPPoE) ou le
-    Point-to-PointTunnelingProtocol(PPTP) dans ce cas l&#39;Interface Externe
-    sera de type ppp (e.g., <emphasis role="bold">ppp0</emphasis>). Si vous
-    vous connectez à travers un modem classique, votre Interface Externe sera
-    également <emphasis role="bold">ppp0</emphasis>. Si vous utilisez ISDN,
-    votre Interface Externe sera <emphasis role="bold">ippp0</emphasis>.</para>
+    <para>Si votre Interface Externe est <filename
+    class="devicefile">ppp0</filename> ou <filename
+    class="devicefile">ippp0</filename> alors vous pouvez fixer CLAMPMSS=yes
+    dans <filename><ulink
+    url="Documentation.htm#Config">/etc/shorewall/shorewall.conf</ulink></filename>.</para>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> Si votre Interface
-    Externe est&#x00A0; ppp0 ou ippp0 alors vous pouvez fixer CLAMPMSS=yes
-    dans /etc/shorewall/shorewall.conf.</para>
+    <para>Votre <emphasis>Interface Locale</emphasis> sera un adaptateur
+    Ethernet (<filename class="devicefile">eth0</filename>,
+    <filename>eth1</filename> or <filename class="devicefile">eth2</filename>)
+    et doit être connecté à un hub ou un switch. Vos ordinateurs locaux
+    doivent être connectés au même switch (note: Si vous avez une machine
+    unique, vous pouvez connecter le firewall directement à l'ordinateur en
+    utilisant un câble croisé).</para>
 
-    <para>Votre Interface Locale doit être un adaptateur Ethernet&#x00A0; (<emphasis
-    role="bold">eth0</emphasis>, <emphasis role="bold">eth1</emphasis> or
-    <emphasis role="bold">eth2</emphasis>) et doit être connecté à un hub ou
-    un switch. Vos ordinateurs locaux doivent être&#x00A0; connectés au même
-    switch (note: Si vous avez une machine unique, vous pouvez connecter le
-    firewall directement à l&#39;ordinateur en utilisant un câble croisé).</para>
-
-    <para>Votre Interface DMZ&#x00A0; doit aussi être un adaptateur Ethernet (<emphasis
-    role="bold">eth0</emphasis>, <emphasis role="bold">eth1</emphasis> or
-    <emphasis role="bold">eth2</emphasis>) et doit être connecté à un hub ou
-    un switch. Vos ordinateurs DMZ doivent être&#x00A0; connectés au même
-    switch (note: Si vous avez une machine DMZ unique, vous pouvez connecter
-    le firewall directement à l&#39;ordinateur en utilisant un câble croisé).</para>
+    <para>Votre <emphasis>Interface DMZ</emphasis> sera aussi être un
+    adaptateur Ethernet (<filename class="devicefile">eth0</filename>,
+    <filename class="devicefile">eth1</filename> ou <filename
+    class="devicefile">eth2</filename>) et doit être connecté à un hub ou un
+    switch. Vos ordinateurs DMZ doivent être connectés au même switch (note:
+    Si vous avez une machine DMZ unique, vous pouvez connecter le firewall
+    directement à l'ordinateur en utilisant un câble croisé).</para>
 
     <caution>
-      <para>Ne pas connecter plus d&#39;une interface au même hub ou switch
-      (sauf pour tester). Cela ne fonctionne pas comme vous pourriez vous y
-      attendre et vous terminerez confus en croyant que le réseau ne
-      fonctionne pas entièrement.</para>
+      <para>Ne connectez pas l'interface interne et externe sur le même hub ou
+      switch, sauf pour tester avec une version postérieure à Shorewall 1.4.7.
+      Quand vous utilisez ces versions récentes, vous pouvez tester ce type de
+      configuration si vous spécifiez l'option <emphasis>arp_filter</emphasis>
+      dans le fichier <filename
+      class="directory">/etc/shorewall/</filename><filename>interfaces</filename>
+      pour toutes les interfaces connectées au hub/switch commun. Utiliser une
+      telle configuration avec un firewall en production est fortement
+      déconseillé.</para>
     </caution>
 
     <para>Pour le besoin de ce Guide, nous décidons que:</para>
 
     <itemizedlist>
       <listitem>
-        <para>L&#39;interface externe est <emphasis role="bold">eth0</emphasis>.</para>
+        <para>L'interface externe est <filename
+        class="devicefile">eth0</filename>.</para>
       </listitem>
 
       <listitem>
-        <para>L&#39;interface locale est <emphasis role="bold">eth1</emphasis>.</para>
+        <para>L'interface locale est <filename
+        class="devicefile">eth1</filename>.</para>
       </listitem>
 
       <listitem>
-        <para>L&#39;interface DMZ est <emphasis role="bold">eth2</emphasis>.</para>
+        <para>L'interface DMZ est <filename
+        class="devicefile">eth2</filename>.</para>
       </listitem>
     </itemizedlist>
 
     <para>La configuration par défaut de Shorewall ne définit pas le contenu
     de chaque zone. Pour définir la précédente configuration en utilisant le
-    fichier <ulink url="Documentation.htm#Interfaces">/etc/shorewall/interfaces
-    </ulink>file, ce fichier doit contenir:</para>
+    fichier <ulink
+    url="Documentation.htm#Interfaces">/etc/shorewall/interfaces</ulink>, ce
+    fichier doit contenir:</para>
 
-    <table>
-      <title>/etc/shorewall/interfaces</title>
+    <programlisting>#ZONE    INTERFACE      BROADCAST     OPTIONS
+net      eth0           detect        rfc1918
+loc      eth1           detect
+dmz      eth2           detect</programlisting>
 
-      <tgroup cols="4">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">ZONE</emphasis></entry>
+    <para><inlinegraphic fileref="images/BD21298_.gif" /></para>
 
-            <entry><emphasis role="bold">INTERFACE</emphasis></entry>
+    <para>Éditer le fichier <filename>/etc/shorewall/interfaces</filename> et
+    définissez les interfaces du réseau sur votre firewall et associez chaque
+    interface avec une zone. Si vous avez une zone qui est interfacée avec
+    plus d'une interface, incluez simplement une entrée pour chaque interface
+    et répéter le nom de zone autant de fois que nécessaire.</para>
 
-            <entry><emphasis role="bold">BROADCAST</emphasis></entry>
+    <example>
+      <title>Multiple Interfaces associé une Zone</title>
 
-            <entry><emphasis role="bold">OPTIONS</emphasis></entry>
-          </row>
+      <programlisting>#ZONE    INTERFACE      BROADCAST     OPTIONS
+net      eth0           detect        rfc1918
+loc      eth1           detect
+loc      eth2           detect</programlisting>
+    </example>
 
-          <row>
-            <entry>net</entry>
+    <para><inlinegraphic fileref="images/BD21298_.gif" /></para>
 
-            <entry>eth0</entry>
-
-            <entry>detect</entry>
-
-            <entry>rfc1918</entry>
-          </row>
-
-          <row>
-            <entry>loc</entry>
-
-            <entry>eth1</entry>
-
-            <entry>detect</entry>
-
-            <entry></entry>
-          </row>
-
-          <row>
-            <entry>dmz</entry>
-
-            <entry>eth2</entry>
-
-            <entry>detect</entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> Editer le fichier
-    /etc/shorewall/interfaces et définissez les interfaces du réseau sur votre
-    firewall et associez chaque interface avec une zone. Si vous avez une zone
-    qui est interfacée avec plus d&#39;une interface, incluez simplement une
-    entrée pour chaque interface et répéter le nom de&#x00A0; zone autant de
-    fois que nécessaire.</para>
-
-    <para>Exemple:</para>
-
-    <table>
-      <title>/etc/shorewall/interfaces</title>
-
-      <tgroup cols="4">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">ZONE</emphasis></entry>
-
-            <entry><emphasis role="bold">INTERFACE</emphasis></entry>
-
-            <entry><emphasis role="bold">BROADCAST</emphasis></entry>
-
-            <entry><emphasis role="bold">OPTIONS</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>net</entry>
-
-            <entry>eth0</entry>
-
-            <entry>detect</entry>
-
-            <entry>rfc1918</entry>
-          </row>
-
-          <row>
-            <entry>loc</entry>
-
-            <entry>eth1</entry>
-
-            <entry>detect</entry>
-
-            <entry></entry>
-          </row>
-
-          <row>
-            <entry>dmz</entry>
-
-            <entry>eth2</entry>
-
-            <entry>detect</entry>
-
-            <entry>dhcp</entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> Vous pouvez définir
-    des zones plus compliquées en utilisant le fichier <ulink
-    url="Documentation.htm#Hosts">/etc/shorewall/hosts</ulink> mais dans la
-    plus part des cas, ce n&#39;est pas nécessaire.</para>
+    <para>Vous pouvez définir des zones plus compliquées en utilisant le
+    fichier<filename> <ulink
+    url="Documentation.htm#Hosts">/etc/shorewall/hosts</ulink></filename> mais
+    dans la plus part des cas, ce n'est pas nécessaire.</para>
   </section>
 
-  <section>
+  <section id="Addressing">
     <title>Adressage, Sous-réseaux et Routage</title>
 
     <para>Normalement, votre FAI vous assigne des adresses Publiques. Vous
-    pouvez configurer l&#39;interface externe du firewall en utilisant
-    l&#39;une de ces adresses permanentes et vous pouvez décider comment
-    utiliser le reste de vos adresses.</para>
+    pouvez configurer l'interface externe du firewall en utilisant l'une de
+    ces adresses permanentes et vous pouvez décider comment utiliser le reste
+    de vos adresses.</para>
 
-    <para>Si vous êtes déjà familier avec l&#39;adressage IP et le routage,
-    vous pouvez aller à la prochaine section.</para>
+    <para>Si vous êtes déjà familier avec l'adressage IP et le routage, vous
+    pouvez aller à la prochaine section.</para>
 
-    <para>La discussion suivante aborde tout juste les concepts
-    d&#39;adressage et de routage. Si vous souhaitez approfondir vos
-    connaissances sur ce sujet, je vous recommande vivement
-    l&#39;ouvrage&#x00A0; &#34;<emphasis>IP Fundamentals: What Everyone Needs
-    to Know about Addressing &#38; Routing</emphasis>&#34;, Thomas A. Maufer,
-    Prentice-Hall, 1999, ISBN 0-13-975483-0.</para>
+    <para>La présentation précédente ne fait que d'effleurer la question des
+    sous réseaux et du routage. Si vous êtes intéressé pour apprendre plus sur
+    l'adressage <acronym>IP</acronym> et le routage, je recommande <quote>IP
+    Fundamentals: What Everyone Needs to Know about Addressing &amp;
+    Routing</quote>, Thomas A. Maufer, Prentice-Hall, 1999, ISBN 0-13-975483-0
+    (<ulink
+    url="http://www.phptr.com/browse/product.asp?product_id={58D4F6D4-54C5-48BA-8EDD-86EBD7A42AF6}">link</ulink>).</para>
 
-    <section>
+    <section id="Addresses">
       <title>Adressage IP</title>
 
-      <para>L&#39;adressage IP version 4 (IPv4) est codé sur 32-bit. La
-      notation w.x.y.z se réfère à une adresse dont le byte d&#39;ordre
-      supérieur est &#34;w&#34;, le suivant à pour valeur &#34;x&#34;, etc. Si
-      nous prenons l&#39;adresse 192.0.2.14 et l&#39;exprimons en hexadécimal,
-      nous obtenons:</para>
+      <para>L'adressage IP version 4 (IPv4) est codé sur 32-bit. La notation
+      w.x.y.z se réfère à une adresse dont le byte d'ordre supérieur est
+      <quote>w</quote>, le suivant à pour valeur <quote>x</quote>, etc. Si
+      nous prenons l'adresse 192.0.2.14 et l'exprimons en hexadécimal, nous
+      obtenons:</para>
 
-      <para><programlisting>        C0.00.02.0E</programlisting>ou
-      l&#39;exprimons comme un entier de 32-bit</para>
+      <para><programlisting>C0.00.02.0E</programlisting>ou l'exprimons comme
+      un entier de 32-bit</para>
 
-      <para><programlisting>        C000020E</programlisting></para>
+      <para><programlisting>C000020E</programlisting></para>
     </section>
 
-    <section>
-      <title>Sous -réseaux</title>
+    <section id="Subnets">
+      <title>Sous-réseaux</title>
 
-      <para>Vous entendrez toujours les termes &#34;réseaux de Class A&#34;,
-      &#34;réseaux de Class B&#34; et &#34;réseaux de Class C&#34;. Au début
-      de l&#39;existence de l&#39;IP, les réseaux ne comportez que trois
-      tailles (il y avait aussi le réseau de Class D mais il étaient utilisés
+      <para>Vous entendrez toujours les termes <quote>Class A network</quote>,
+      <quote>Class B network</quote> et <quote>Class C network</quote>. Au
+      début de l'existence de l'IP, les réseaux ne comportaient que trois
+      tailles (il y avait aussi le réseau de Class D mais il était utilisé
       différemment):</para>
 
       <simplelist>
-        <member>Classe A - masque réseau 255.0.0.0, taille = 2 ** 24</member>
+        <member>Class A - netmask 255.0.0.0, size = 2 ** 24</member>
 
-        <member>Classe B - masque réseau 255.255.0.0, taille = 2 ** 16</member>
+        <member>Class B - netmask 255.255.0.0, size = 2 ** 16</member>
 
-        <member>Classe C - masque réseau 255.255.255.0, taille = 256</member>
+        <member>Class C - netmask 255.255.255.0, size = 256</member>
       </simplelist>
 
-      <para>La taille d&#39;un réseau était uniquement déterminé par la valeur
-      du byte de l&#39;ordre supérieur, ainsi vous pouviez regarder une
-      adresse IP et déterminer immédiatement le masque réseau. Le masque
-      réseau est un nombre qui se termine logiquement avec une adresse qui
-      isole le <emphasis>numéro de réseau</emphasis>; le reste de
-      l&#39;adresse est le <emphasis>numéro d&#39;hôte</emphasis>. Par
-      exemple, dans la Classe C l&#39;adresse 192.0.2.14, le numéro
-      hexadécimal du réseau est C00002 et le numéro hexadécimal d&#39;hôte est
-      0E.</para>
+      <para>La taille d'un réseau était uniquement déterminée par la valeur du
+      byte de l'ordre supérieur, ainsi vous pouviez regarder une adresse IP et
+      déterminer immédiatement le masque réseau. Le masque réseau est un
+      nombre qui se termine logiquement avec une adresse qui isole le
+      <emphasis>numéro de réseau</emphasis>; le reste de l'adresse est le
+      <emphasis>numéro d'hôte</emphasis>. Par exemple, dans la Classe C
+      l'adresse 192.0.2.14, le numéro hexadécimal du réseau est C00002 et le
+      numéro hexadécimal d'hôte est 0E.</para>
 
-      <para>Comme l&#39;Internet se développait, il semblait clair que la
+      <para>Comme l'Internet se développait, il semblait clair que la
       classification en adressage 32-bit allait devenir très limité
-      (rapidement, les grandes sociétés et les universités s&#39;étaient
-      assigné leur propre réseau de classe A!). Après quelques faux départs,
-      la technique courante du sous-adressage de ces réseaux en plus petits
-      sous-réseaux&#x00A0; évolua; cette technique est consignée par le
-      Classless Inter Domain Routing (CIDR). Aujourd&#39;hui, tous les
-      systèmes avec lesquels vous travaillerez&#x00A0; comprennent
+      (rapidement, les grandes sociétés et les universités s'étaient assigné
+      leur propre réseau de classe A!). Après quelques faux départs, la
+      technique courante du sous-adressage de ces réseaux en plus petits
+      sous-réseaux évolua; cette technique est consignée par le
+      <emphasis>Classless InterDomain Routing</emphasis> (CIDR). Aujourd'hui,
+      tous les systèmes avec lesquels vous travaillerez comprennent
       probablement la notation CIDR. Le réseau basé sur les Classes est du
-      domaine du passé .</para>
+      domaine du passé.</para>
 
-      <para>Un sous-réseau (aussi appelé subnetwork et subnet) est un ensemble
-      d&#39;adresses IP tel que:</para>
+      <para>Un <emphasis>sous-reseau </emphasis> (aussi appelé
+      <emphasis>subnet</emphasis> ou <emphasis>subnetwork</emphasis>) est un
+      ensemble d'adresses IP tel que:</para>
 
       <orderedlist>
         <listitem>
-          <para>Le nombre d&#39;adresses dans le jeu est un multiple de 2; et</para>
+          <para>Le nombre d'adresses dans le jeu est un multiple de 2;
+          et</para>
         </listitem>
 
         <listitem>
@@ -617,7 +522,7 @@
 
         <listitem>
           <para>La première adresse du sous-réseau est réservée et se réfère à
-          <emphasis>l&#39;adresse du sous-réseau</emphasis>.</para>
+          <emphasis>l'adresse du sous-réseau</emphasis>.</para>
         </listitem>
 
         <listitem>
@@ -626,6 +531,19 @@
         </listitem>
       </orderedlist>
 
+      <para>Comme vous pouvez le constater par cette définition, dans chaque
+      sous-réseau de taille n il y a (n - 2) adresses utilisables (adresses
+      qui peuvent être assignés à une hôte). La première et la dernière
+      adresse du sous-réseau sont utilisées respectivement pour identifier
+      l'adresse sous-réseau et l'adresse broadcast du sous-réseau. En
+      conséquence, de petits sous-réseaux sont plus gourmands en adresses IP
+      que de plus étendus.</para>
+
+      <para>Comme n est une puissance de deux, nous pouvons aisément calculer
+      le <emphasis>Logarithme Naturel </emphasis>(log2) de n. Pour les plus
+      communs des sous-réseaux, la taille et leur logarithme naturel sont
+      donnés par la table suivante:</para>
+
       <table>
         <title>Logarithme Naturel</title>
 
@@ -756,9 +674,9 @@
 
       <para>Vous pourrez voir que la table ci-dessus contient aussi une
       colonne (32 - log2<emphasis role="bold"> n</emphasis>). Ce nombre est la
-      <emphasis>Variable de Longueur&#x00A0; du Masque de Sous-réseau</emphasis>
-      (VLSM Variable Length Subnet Mask) pour un réseau de taille n. De la
-      table ci-dessus, nous pouvons dériver celle-ci, ce qui est plus facile à
+      <emphasis>Variable de Longueur du Masque de Sous-réseau</emphasis> (VLSM
+      Variable Length Subnet Mask) pour un réseau de taille n. De la table
+      ci-dessus, nous pouvons dériver celle-ci, ce qui est plus facile à
       utiliser.</para>
 
       <table>
@@ -767,11 +685,11 @@
         <tgroup cols="3">
           <tbody>
             <row>
-              <entry><emphasis role="bold">Taille du sous-réseau</emphasis></entry>
+              <entry><emphasis role="bold">Subnet Size</emphasis></entry>
 
               <entry><emphasis role="bold">VLSM</emphasis></entry>
 
-              <entry><emphasis role="bold">Masque sous-réseau</emphasis></entry>
+              <entry><emphasis role="bold">Subnet Mask</emphasis></entry>
             </row>
 
             <row>
@@ -897,28 +815,33 @@
         </tgroup>
       </table>
 
-      <para>Notez que le VLSM est écrit avec un slash (&#34;/&#34;) -- vous
-      pouvez souvent entendre un sous-réseau de taille 64 qui fait référence à
-      un sous-réseau &#34;slash 26&#34; et un de taille 8 faisant référence à
-      un &#34;slash 29&#34;.</para>
+      <para>Notez que le VLSM est écrit avec un slash (<quote>/</quote>) --
+      vous pouvez souvent entendre un sous-réseau de taille 64 qui fait
+      référence à un sous-réseau <quote>slash 26</quote> et un de taille 8
+      faisant référence à un <quote>slash 29</quote>.</para>
 
       <para>Le masque de sous-réseau (aussi référencé par son
-      netmask)&#x00A0;est simplement un nombre de 32-bit avec le premier bit
-      &#34;VLSM&#34; à un et les autres à zéro. Par exemple, pour un
-      sous-réseau de taille 64, le masque de sous-réseau débute par 26 bits à
-      un:<programlisting>        11111111111111111111111111000000 = FFFFFFC0 = FF.FF.FF.C0 = 255.255.255.192</programlisting>Le
+      <emphasis>netmask</emphasis>) est simplement un nombre de 32-bit avec le
+      premier bit <quote>VLSM</quote> à un et les autres à zéro. Par exemple,
+      pour un sous-réseau de taille 64, le masque de sous-réseau débute par 26
+      bits à un:</para>
+
+      <para><programlisting>11111111111111111111111111000000 = FFFFFFC0 = FF.FF.FF.C0 = 255.255.255.192</programlisting>Le
       masque de sous-réseau a la propriété suivante: si vous terminez
       logiquement le masque de sous-réseau avec une adresse dans le
-      sous-réseau, le résultat est l&#39;adresse du sous-réseau. Attention, si
+      sous-réseau, le résultat est l'adresse du sous-réseau. Attention, si
       vous terminez logiquement le masque de sous-réseau avec une adresse en
-      dehors du sous-réseau, le résultat n&#39;est PAS l&#39;adresse du
-      sous-réseau. Comme nous l&#39;avons vu précédemment, la propriété du
-      masque de sous-réseau est très importante dans le routage. Pour un
-      sous-réseau dont l&#39;adresse est a.b.c.d et dont la VLSM est /v, nous
-      notons le sous-réseau par &#34;a.b.c.d/v&#34; en utilisant la Notation
-      CIDR.&#x00A0;</para>
+      dehors du sous-réseau, le résultat n'est PAS l'adresse du
+      sous-réseau.</para>
 
-      <para>Exemple:</para>
+      <para>Comme nous l'avons vu précédemment, la propriété du masque de
+      sous-réseau est très importante dans le routage.</para>
+
+      <para>Pour un sous-réseau dont l'adresse est <emphasis
+      role="bold">a.b.c.d</emphasis> et dont la VLSM est <emphasis
+      role="bold">/v</emphasis>, nous notons le sous-réseau <quote><emphasis
+      role="bold">a.b.c.d/v</emphasis></quote> en utilisant la
+      <emphasis>notation CIDR</emphasis>.</para>
 
       <table>
         <title>Un exemple de sous-réseau (sub-network) :</title>
@@ -926,25 +849,32 @@
         <tgroup cols="2">
           <tbody>
             <row>
-              <entry><emphasis role="bold">Sous-réseau:</emphasis></entry>
+              <entry><emphasis role="bold">Subnet:</emphasis></entry>
 
               <entry>10.10.10.0 - 10.10.10.127</entry>
             </row>
 
             <row>
-              <entry><emphasis role="bold">Adresse Sous-réseau:</emphasis></entry>
+              <entry><emphasis role="bold">Subnet Size:</emphasis></entry>
+
+              <entry>128</entry>
+            </row>
+
+            <row>
+              <entry><emphasis role="bold">Subnet Address:</emphasis></entry>
 
               <entry>10.10.10.0</entry>
             </row>
 
             <row>
-              <entry><emphasis role="bold">Adresse Broadcast:</emphasis></entry>
+              <entry><emphasis role="bold">Broadcast
+              Address:</emphasis></entry>
 
               <entry>10.10.10.127</entry>
             </row>
 
             <row>
-              <entry><emphasis role="bold">Notation CIDR:</emphasis></entry>
+              <entry><emphasis role="bold">CIDR Notation:</emphasis></entry>
 
               <entry>10.10.10.0/25</entry>
             </row>
@@ -957,18 +887,18 @@
       membres.</para>
 
       <table>
-        <title>/32 et /0</title>
+        <title>/32 and /0</title>
 
         <tgroup cols="4">
           <tbody>
             <row>
-              <entry><emphasis role="bold">Taille du sous-réseau</emphasis></entry>
+              <entry><emphasis role="bold">Subnet Size</emphasis></entry>
 
-              <entry><emphasis role="bold">Longueur VLSM</emphasis></entry>
+              <entry><emphasis role="bold">VLSM Length</emphasis></entry>
 
-              <entry><emphasis role="bold">Masque sous-réseau</emphasis></entry>
+              <entry><emphasis role="bold">Subnet Mask</emphasis></entry>
 
-              <entry><emphasis role="bold">Notation CIDR</emphasis></entry>
+              <entry><emphasis role="bold">CIDR Notation</emphasis></entry>
             </row>
 
             <row>
@@ -996,210 +926,248 @@
 
       <para>Ainsi, chaque adresse <emphasis role="bold">a.b.c.d</emphasis>
       peut aussi être écrite <emphasis role="bold">a.b.c.d/32</emphasis> et
-      l&#39;ensemble des adresses possibles est écrit <emphasis role="bold">0.0.0.0/0</emphasis>.</para>
+      l'ensemble des adresses possibles est écrit <emphasis
+      role="bold">0.0.0.0/0</emphasis>.</para>
 
       <para>Plus loin dans ce manuel, vous verrez la notation <emphasis
       role="bold">a.b.c.d/v</emphasis> utilisé pour décrire la configuration
-      IP d&#39;une interface réseau (l&#39;utilitaire &#39;ip&#39; utilise
-      aussi cette syntaxe). cela veut simplement dire que l&#39;interface est
-      configuré avec une adresse ip <emphasis role="bold">a.b.c.d</emphasis>
-      et avec le masque de réseau qui correspond à la variable VLSM /<emphasis
+      IP d'une interface réseau (l'utilitaire 'ip' utilise aussi cette
+      syntaxe). cela veut simplement dire que l'interface est configuré avec
+      une adresse ip <emphasis role="bold">a.b.c.d</emphasis> et avec le
+      masque de réseau qui correspond à la variable VLSM /<emphasis
       role="bold">v</emphasis>.</para>
+
+      <example>
+        <title>192.0.2.65/29</title>
+
+        <para>L'interface est configuré avec l'adresse IP 192.0.2.65 et le
+        netmask 255.255.255.248.</para>
+      </example>
+
+      <para>Depuis Shorewall 1.4.6, /sbin/shorewall supporte une command
+      ipcalc qui calcule automatiquement l'information sur le
+      [sous]réseau.</para>
+
+      <example>
+        <title>En utilisant la commande <command>ipcalc</command>.</title>
+
+        <programlisting>shorewall ipcalc 10.10.10.0/25
+   CIDR=10.10.10.0/25
+   NETMASK=255.255.255.128
+   NETWORK=10.10.10.0
+   BROADCAST=10.10.10.127
+</programlisting>
+      </example>
+
+      <example>
+        <title>En utilisant la commande <command>ipcalc</command>.</title>
+
+        <programlisting>shorewall ipcalc 10.10.10.0 255.255.255.128
+   CIDR=10.10.10.0/25
+   NETMASK=255.255.255.128
+   NETWORK=10.10.10.0
+   BROADCAST=10.10.10.127</programlisting>
+      </example>
     </section>
 
-    <section>
+    <section id="Routing">
       <title>Routage</title>
 
-      <para>L&#39;un des buts des sous-réseaux est la base du routage.
-      Ci-dessous se trouve la table de routage de mon firewall:</para>
+      <para>L'un des buts des sous-réseaux est la base du routage. Ci-dessous
+      se trouve la table de routage de mon firewall (compressé pour du
+      PDF):</para>
 
-      <programlisting>        [root@gateway root]# netstat -nr
-        Kernel IP routing table
-        Destination      Gateway         Genmask         Flags MSS Window irtt Iface
-        192.168.9.1      0.0.0.0         255.255.255.255 UH    40  0         0 texas
-        206.124.146.177  0.0.0.0         255.255.255.255 UH    40  0         0 eth1
-        206.124.146.180  0.0.0.0         255.255.255.255 UH    40  0         0 eth3
-        192.168.3.0      0.0.0.0         255.255.255.0   U     40  0         0 eth3
-        192.168.2.0      0.0.0.0         255.255.255.0   U     40  0         0 eth1
-        192.168.1.0      0.0.0.0         255.255.255.0   U     40  0         0 eth2
-        206.124.146.0    0.0.0.0         255.255.255.0   U     40  0         0 eth0
-        192.168.9.0      192.0.2.223     255.255.255.0   UG    40  0         0 texas
-        127.0.0.0        0.0.0.0         255.0.0.0       U     40  0         0 lo
-        0.0.0.0          206.124.146.254 0.0.0.0         UG    40  0         0 eth0
-        [root@gateway root]#</programlisting>
+      <programlisting>[root@gateway root]# netstat -nr
+Kernel IP routing table
+Destination     Gateway         Genmask         Flgs MSS Win irtt Iface
+192.168.9.1     0.0.0.0         255.255.255.255 UH   40  0      0 texas
+206.124.146.177 0.0.0.0         255.255.255.255 UH   40  0      0 eth1
+206.124.146.180 0.0.0.0         255.255.255.255 UH   40  0      0 eth3
+192.168.3.0     0.0.0.0         255.255.255.0   U    40  0      0 eth3
+192.168.2.0     0.0.0.0         255.255.255.0   U    40  0      0 eth1
+192.168.1.0     0.0.0.0         255.255.255.0   U    40  0      0 eth2
+206.124.146.0   0.0.0.0         255.255.255.0   U    40  0      0 eth0
+192.168.9.0     192.0.2.223     255.255.255.0   UG   40  0      0 texas
+127.0.0.0       0.0.0.0         255.0.0.0       U    40  0      0 lo
+0.0.0.0         206.124.146.254 0.0.0.0         UG   40  0      0 eth0
+[root@gateway root]#</programlisting>
 
       <para>Le périphérique <emphasis>texas</emphasis> est le tunnel GRE vers
       un site peer à Dallas, la zone Texas.</para>
 
-      <para>Les trois premières routes sont des routes hôte puisqu&#39;elles
-      indiquent comment aller vers un hôte unique. Dans la sortie de
-      &#39;netstat&#39; cela peut-être vu par le &#34;Genmask&#34; (Masque
-      sous-réseau) de 255.255.255.255 et le &#34;H&#34;&#x00A0; dans la
-      colonne &#34;Flags&#34;. Les autres sont des routes &#39;net&#39; car
-      elles indiquent au noyau comment router des paquets à un sous-réseau. La
-      dernière route est <emphasis>la route par défaut</emphasis> est la
-      passerelle (gateway) mentionnée est appelé <emphasis>passerelle par
-      défaut (default gateway).</emphasis></para>
+      <para>Les trois premières routes sont des <emphasis>host
+      routes</emphasis> puisqu'elles indiquent comment aller vers un hôte
+      unique. Dans la sortie de <quote>netstat</quote> cela peut-être vu par
+      le <quote>Genmask</quote> (Masque sous-réseau) de 255.255.255.255 et le
+      <quote>H</quote> dans la colonne <quote>Flags</quote> . Les autres sont
+      des routes <emphasis><quote>net</quote> routes</emphasis> car elles
+      indiquent au noyau comment router des paquets à un sous-réseau. La
+      dernière route est <emphasis>la route par défaut</emphasis>
+      correspondant à la passerelle (gateway) mentionnée aussi appelé
+      <emphasis>passerelle par défaut (default gateway).</emphasis></para>
 
-      <para>Quant le noyau essaye d&#39;envoyer un paquet à une adresse IP A,
-      il commence au début de la table de routage et :</para>
+      <para>Quant le noyau essaye d'envoyer un paquet à une adresse IP
+      <emphasis role="bold">A</emphasis>, il commence au début de la table de
+      routage et:</para>
 
       <itemizedlist>
         <listitem>
-          <para>A est logiquement terminé avec la valeur du &#39;Genmask&#39;
-          dans l&#39;entrée de la table.</para>
+          <para><emphasis role="bold">A</emphasis> est logiquement terminé
+          avec la valeur du <quote>Genmask</quote> dans l'entrée de la
+          table.</para>
         </listitem>
 
         <listitem>
-          <para>Le résultat est comparé avec la valeur de la destination
-          &#39;Destination&#39; dans l&#39;entrée de la table.</para>
+          <para>Le résultat est comparé avec la valeur de la
+          <quote>Destination</quote> dans l'entrée de la table.</para>
         </listitem>
 
         <listitem>
-          <para>Si le résultat et la valeur de la&#x00A0;
-          &#39;Destination&#39; sont identiques, alors:</para>
+          <para>Si le résultat et la valeur de la <quote>Destination</quote>
+          sont identiques, alors:</para>
 
           <itemizedlist>
             <listitem>
-              <para>Si la colonne &#39;Gateway&#39; est n&#39;est pas nulle,
-              le paquet est envoyé au gateway à travers l&#39;interface nommée
-              dans la colonne &#39;Iface&#39;.</para>
+              <para>Si la colonne <quote>Gateway</quote> n'est pas nulle, le
+              paquet est envoyé au gateway à travers l'interface nommée dans
+              la colonne <quote>Iface</quote>.</para>
             </listitem>
 
             <listitem>
-              <para>Sinon, le paquet est directement envoyé à A à travers
-              l&#39;interface nommée dans la colonne &#39;iface&#39;.</para>
+              <para>Sinon, le paquet est directement envoyé à <emphasis
+              role="bold">A</emphasis> à travers l'interface nommée dans la
+              colonne <quote>iface</quote>.</para>
             </listitem>
           </itemizedlist>
         </listitem>
 
         <listitem>
-          <para>Autrement, les étapes précédentes sont répétées sur
-          l&#39;entrée suivante de la table.</para>
+          <para>Autrement, les étapes précédentes sont répétées sur l'entrée
+          suivante de la table.</para>
         </listitem>
       </itemizedlist>
 
-      <para>Puisque la route par défaut correspond à toutes les adresses IP (<emphasis
-      role="bold">A </emphasis>donne 0.0.0.0 = 0.0.0.0), les paquets qui ne
-      correspondent à aucune des autres entrées de la table de routage sont
-      envoyés au gateway par défaut qui généralement est un routeur vers le
-      FAI.</para>
+      <para>Puisque la route par défaut correspond à toutes les adresses IP
+      (<emphasis role="bold">A </emphasis>donne 0.0.0.0 = 0.0.0.0), les
+      paquets qui ne correspondent à aucune des autres entrées de la table de
+      routage sont envoyés au gateway par défaut qui généralement est un
+      routeur vers le FAI.</para>
 
       <para>Voici un exemple. Supposez que vous souhaitez router un paquet à
-      192.168.1.5. Cette adresse ne correspond à aucune route d&#39;hôte dans
-      la table mais si nous terminons logiquement cette adresse avec
-      255.255.255.0, le résultat est 192.168.1.0 qui correspond à la
-      l&#39;entrée dans la table:</para>
+      192.168.1.5. Cette adresse ne correspond à aucune route d'hôte dans la
+      table mais si nous terminons logiquement cette adresse avec
+      255.255.255.0, le résultat est 192.168.1.0 qui correspond à la l'entrée
+      dans la table:</para>
 
-      <para><programlisting>        192.168.1.0     0.0.0.0         255.255.255.0   U     40  0         0 eth2</programlisting></para>
+      <para><programlisting>192.168.1.0   0.0.0.0       255.255.255.0   U     40  0         0 eth2</programlisting></para>
 
       <para>Donc le paquet vers 192.168.1.5 est directement envoyé à travers
       eth2.</para>
 
       <para>Un des points qui doit être souligné -- tous les paquets sont
       envoyés en utilisant la table de routage et les réponses ne sont pas
-      exclues de ce principe. Il semble y avoir&#x00A0; une croyance de la
-      part des ceux qui croient que les paquets réponses sont comme les
-      saumons et contiennent un code génétique qui leur permet de suivre la
-      route emprunté par les paquets envoyés. Ce n&#39;est pas le cas; La
-      réponse peut prendre un chemin totalement différent de celui de la
-      requête du client -- les routes requête/réponse sont totalement
-      indépendantes.</para>
+      exclues de ce principe. Il semble y avoir une idée fausse chez ceux qui
+      croient que les paquets réponses sont comme les saumons et contiennent
+      un code génétique qui leur permet de suivre la route emprunté par les
+      paquets envoyés. Ce n'est pas le cas; La réponse peut prendre un chemin
+      totalement différent de celui de la requête du client -- les routes
+      requête/réponse sont totalement indépendantes.</para>
     </section>
 
     <section>
-      <title>Protocole de Résolution d&#39;Adresse (ARP)</title>
+      <title id="ARP">Protocole de Résolution d'Adresse (ARP)</title>
 
       <para>Quant on envoie des paquets à travers Ethernet, les adresses IP ne
-      sont pas utilisées. Bien que l&#39;adressage Ethernet soit basé sur les
+      sont pas utilisées. Bien que l'adressage Ethernet soit basé sur les
       adresses <emphasis>Media Access Control</emphasis> (MAC). Chaque
-      périphérique Ethernet à sa propre adresse&#x00A0; MAC qui est contenu
-      dans une PROM lors de la fabrication. Vous pouvez obtenir l&#39;adresse
-      MAC grâce à l&#39;utilitaire &#39;ip&#39;:</para>
+      périphérique Ethernet à sa propre adresse MAC qui est contenu dans une
+      PROM lors de la fabrication. Vous pouvez obtenir l'adresse MAC grâce à
+      l'utilitaire <quote>ip</quote>:</para>
 
-      <programlisting>        [root@gateway root]# ip addr show eth0
-        2: eth0: &#60;BROADCAST,MULTICAST,UP&#62; mtu 1500 qdisc htb qlen 100
-        link/ether 02:00:08:e3:fa:55 brd ff:ff:ff:ff:ff:ff
-        inet 206.124.146.176/24 brd 206.124.146.255 scope global eth0
-        inet 206.124.146.178/24 brd 206.124.146.255 scope global secondary eth0
-        inet 206.124.146.179/24 brd 206.124.146.255 scope global secondary eth0
-        [root@gateway root]#
+      <programlisting>[root@gateway root]# <command>ip addr show eth0</command>
+2: eth0: &lt;BROADCAST,MULTICAST,UP&gt; mtu 1500 qdisc htb qlen 100
+link/ether 02:00:08:e3:fa:55 brd ff:ff:ff:ff:ff:ff
+inet 206.124.146.176/24 brd 206.124.146.255 scope global eth0
+inet 206.124.146.178/24 brd 206.124.146.255 scope global secondary eth0
+inet 206.124.146.179/24 brd 206.124.146.255 scope global secondary eth0
+[root@gateway root]#
 </programlisting>
 
-      <para>Comme vous pouvez le constater ci-dessus, l&#39;adresse MAC codé
-      sur 6 bytes (48 bits). Une carte MAC est généralement aussi imprimé sur
-      la carte elle-même.</para>
+      <para>Comme vous pouvez le constater ci-dessus, l'adresse MAC codé sur 6
+      bytes (48 bits). L'adresse MAC est généralement aussi imprimée sur la
+      carte elle-même.</para>
 
-      <para>Parce que IP utilise les adresses IP et Ethernet les adresses MAC,
-      un mécanisme est nécessaire pour transcrire une adresse IP en adresse
-      MAC; C&#39;est ce dont est chargé le protocole de résolution
-      d&#39;adresse <emphasis>Address Resolution Protocol</emphasis> (ARP).
-      Voici ARP en action:</para>
+      <para>Comme IP utilise les adresses IP et Ethernet les adresses MAC, un
+      mécanisme est nécessaire pour transcrire une adresse IP en adresse MAC;
+      C'est ce dont est chargé le protocole de résolution d'adresse
+      <emphasis>Address Resolution Protocol </emphasis>(ARP). Voici ARP en
+      action:</para>
 
-      <programlisting>        [root@gateway root]# tcpdump -nei eth2 arp
-        tcpdump: listening on eth2
-        09:56:49.766757 2:0:8:e3:4c:48 0:6:25:aa:8a:f0 arp 42: arp who-has 192.168.1.19 tell 192.168.1.254
-        09:56:49.769372 0:6:25:aa:8a:f0 2:0:8:e3:4c:48 arp 60: arp reply 192.168.1.19 is-at 0:6:25:aa:8a:f0
+      <programlisting>[root@gateway root]# <command>tcpdump -nei eth2 arp</command>
+tcpdump: listening on eth2
+09:56:49.766757 2:0:8:e3:4c:48 0:6:25:aa:8a:f0 arp 42:
+                arp who-has 192.168.1.19 tell 192.168.1.254
+09:56:49.769372 0:6:25:aa:8a:f0 2:0:8:e3:4c:48 arp 60:
+                arp reply 192.168.1.19 is-at 0:6:25:aa:8a:f0
 
-        2 paquets received by filter
-        0 paquets dropped by kernel
-        [root@gateway root]#</programlisting>
+2 packets received by filter
+0 packets dropped by kernel
+[root@gateway root]#</programlisting>
 
       <para>Dans cet échange , 192.168.1.254 (MAC 2:0:8:e3:4c:48) veut
-      connaître l&#39;adresse MAC du périphérique avec l&#39;adresse IP
-      192.168.1.19. Le système ayant cette adresse IP répond que l&#39;adresse
-      MAC du périphérique avec l&#39;adresse IP 192.168.1.19 est
-      0:6:25:aa:8a:f0.</para>
+      connaître l'adresse MAC du périphérique avec l'adresse IP 192.168.1.19.
+      Le système ayant cette adresse IP répond que l'adresse MAC du
+      périphérique avec l'adresse IP 192.168.1.19 est 0:6:25:aa:8a:f0.</para>
 
-      <para>Afin de rendre disponible les informations d&#39;échange ARP
-      chaque fois qu&#39;un paquet est envoyé, le système maintient un
-      <emphasis>cache ARP</emphasis> des correspondances IP&#60;-&#62;MAC.
-      Vous pouvez voir le cache ARP sur votre système (également sur les
-      systèmes Windows) en utilisant la commande &#39;arp&#39;:</para>
+      <para>Afin de rendre disponible les informations d'échange ARP chaque
+      fois qu'un paquet est envoyé, le système maintient un <emphasis>cache
+      ARP</emphasis> of IP&lt;-&gt;MAC correspondances. Vous pouvez voir le
+      cache ARP sur votre système (également sur les systèmes
+      <trademark>Windows</trademark>) en utilisant la commande
+      <quote>arp</quote>:</para>
 
-      <programlisting>        [root@gateway root]# arp -na
-        ? (206.124.146.177) at 00:A0:C9:15:39:78 [ether] on eth1
-        ? (192.168.1.3) at 00:A0:CC:63:66:89 [ether] on eth2
-        ? (192.168.1.5) at 00:A0:CC:DB:31:C4 [ether] on eth2
-        ? (206.124.146.254) at 00:03:6C:8A:18:38 [ether] on eth0
-        ? (192.168.1.19) at 00:06:25:AA:8A:F0 [ether] on eth2
+      <programlisting>[root@gateway root]# <command>arp -na</command>
+? (206.124.146.177) at 00:A0:C9:15:39:78 [ether] on eth1
+? (192.168.1.3) at 00:A0:CC:63:66:89 [ether] on eth2
+? (192.168.1.5) at 00:A0:CC:DB:31:C4 [ether] on eth2
+? (206.124.146.254) at 00:03:6C:8A:18:38 [ether] on eth0
+? (192.168.1.19) at 00:06:25:AA:8A:F0 [ether] on eth2
 </programlisting>
 
-      <para>Les détails de réponse sont le résultat de l&#39;utilisation de
-      l&#39;option &#39;n&#39; (Windows &#39;arp&#39; n&#39;accepte pas cette
-      option) qui force le programme &#39;arp&#39; à la translation de
-      résolution de noms IP-&#62;DNS. Si je n&#39;utilise pas cette option, la
-      marque de question aurait été remplacé par le FQDN correspondant à
-      chaque adresse IP. Notez que la dernière information dans la table
-      d&#39;enregistrement est celle que nous voyons en utilisant précédemment
-      tcpdump.</para>
+      <para>Les détails de réponse sont le résultat de l'utilisation de
+      l'option <quote>n</quote> (<trademark>Windows</trademark>
+      <quote>arp</quote> n'accepte pas cette option) qui force le programme
+      <quote>arp</quote> à la translation de résolution de noms IP-&gt;DNS. Si
+      je n'utilise pas cette option, le point d'interrogation sera remplacé
+      par le noms correspondant à chaque adresse IP. Notez que la dernière
+      information dans la table d'enregistrement est celle que nous voyons en
+      utilisant précédemment tcpdump.</para>
     </section>
 
-    <section>
+    <section id="RFC1918">
       <title>RFC 1918</title>
 
-      <para>Les adresses IP sont alloués par l&#39;autorité <ulink
+      <para>Les adresses IP sont allouées par l'autorité <ulink
       url="http://www.iana.org/">Internet Assigned Number Authority</ulink>
-      (IANA) qui délégue des allocations géographiques basés sur le Regional
-      Internet Registries (RIRs). Par exemple, les allocations pour les
+      (IANA) qui délégue des allocations géographiques basées sur le Regional
+      Internet Registries (RIR). Par exemple, les allocations pour les
       Etats-Unis sont déléguées à <ulink url="http://www.arin.net/">American
-      Registry for Internet Numbers</ulink> (ARIN). Ces&#x00A0; RIRs peuvent
-      déléguer à des bureaux nationaux. La plus part d&#39;entre nous ne
-      traite pas avec autorités mais obtienne plutôt leur adresse IP par leur
-      FAI.</para>
+      Registry for Internet Numbers</ulink> (ARIN). Ces RIR peuvent déléguer à
+      des bureaux nationaux. La plus part d'entre nous ne traite pas avec
+      autorités mais obtienne plutôt leur adresse IP par leur FAI.</para>
 
       <para>Dans la réalité, généralement on ne peut se permettre autant
-      d&#39;adresses IP Publiques que de périphériques à assigner si bien que
-      nous utiliseront des adresses IP Privées. RFC 1918 réserve plusieurs
-      plages d&#39;adresse IP à cet usage:</para>
+      d'adresses IP Publiques que de périphériques à assigner si bien que nous
+      utiliseront des adresses IP Privées. RFC 1918 réserve plusieurs plages
+      d'adresse IP à cet usage:</para>
 
-      <programlisting>     10.0.0.0    - 10.255.255.255
-     172.16.0.0  - 172.31.255.255
-     192.168.0.0 - 192.168.255.255</programlisting>
+      <programlisting>10.0.0.0    - 10.255.255.255
+172.16.0.0  - 172.31.255.255
+192.168.0.0 - 192.168.255.255</programlisting>
 
       <para>Les adresses réservées par la RFC 1918 sont parfois appelées
-      non-routable car le routeur passerelle Internet ne renvoit pas les
-      paquets qui ont une adresse de destination RFC-1918. cela est
+      non-routable car le routeur passerelle Internet ne renvoi pas les
+      paquets qui ont une adresse de destination RFC-1918. Cela est
       compréhensible car tout le monde peut choisir ces adresses pour un usage
       privé.</para>
 
@@ -1208,45 +1176,55 @@
 
       <itemizedlist>
         <listitem>
-          <para>Comme l&#39;espace des adresses IPv4 s&#39;épuise, de plus en
-          plus d&#39;organisation (comprenant les FAI) commencent à utiliser
-          les adresses RFC 1918 dans leur infrastructures.</para>
+          <para>Comme l'espace des adresses IPv4 s'épuise, de plus en plus
+          d'organisation (comprenant les FAI) commencent à utiliser les
+          adresses RFC 1918 dans leur infrastructures.</para>
         </listitem>
 
         <listitem>
           <para>Vous ne voulez pas utiliser des adresses IP qui sont utilisés
           par votre FAI ou une autre organisation avec laquelle vous souhaiter
-          établir une liaison VPN.0</para>
+          établir une liaison VPN</para>
         </listitem>
       </itemizedlist>
 
-      <para>C&#39;est pourquoi c&#39;est une bonne idée de vérifier avec votre
-      FAI s&#39;il n&#39;utilise pas (ou ne prévoie pas d&#39;utiliser) des
-      adresses privées avant de décider les adresses que vous allez utiliser.</para>
+      <para>C'est pourquoi c'est une bonne idée de vérifier avec votre FAI
+      s'il n'utilise pas (ou ne prévoie pas d'utiliser) des adresses privées
+      avant de décider les adresses que vous allez utiliser.</para>
+
+      <note>
+        <para><emphasis role="bold">Dans ce document, les adresses IP externes
+        <quote>réels</quote> du type 192.0.2.x. 192.0.2.0/24 sont réservées
+        par RFC 3330 pour l'utilisation d'adresses IP publiques. Ces adresses
+        ne doivent pas être confondues avec les adresses 192.168.0.0/16; comme
+        décrit ci-dessus, celles-ci sont réservées par RFC 1918 pour une
+        utilisation privée.</emphasis></para>
+      </note>
     </section>
   </section>
 
-  <section>
+  <section id="Options">
     <title>Configurer votre Réseau</title>
 
-    <para>Le choix de configuration de votre réseau dépend d&#39;abord du
-    nombre d&#39;adresses Public IP dont vous avez besoin, c&#39;est à dire du
-    nombre d&#39;entités adressables que vous avez sur votre réseau. En
-    fonction du nombre d&#39;adresses que vous avez, votre FAI peut servir ce
-    jeu d&#39;adresses de deux manières:</para>
+    <para>Le choix de configuration de votre réseau dépend d'abord du nombre
+    d'adresses Public IP dont vous avez besoin, c'est à dire du nombre
+    d'entités adressables que vous avez sur votre réseau. En fonction du
+    nombre d'adresses que vous avez, votre FAI peut servir ce jeu d'adresses
+    de deux manières:</para>
 
     <itemizedlist>
       <listitem>
-        <para>Routé - Le trafic vers chacune de vos adresses sera routé à
-        travers une unique adresse passerelle. Cela sera généralement fait si
-        votre FAI vous assigne un sous-réseau complet (/29 ou plus). Dans ce
-        cas, vous assignerez l&#39;adresse passerelle comme adresse IP de
-        l&#39;interface externe de votre firewall/router.</para>
+        <para><emphasis role="bold">Routed</emphasis> - Le trafic vers chacune
+        de vos adresses sera routé à travers une unique adresse passerelle.
+        Cela sera généralement fait si votre FAI vous assigne un sous-réseau
+        complet (/29 ou plus). Dans ce cas, vous assignerez l'adresse
+        passerelle comme adresse IP de l'interface externe de votre
+        firewall/router.</para>
       </listitem>
 
       <listitem>
-        <para>Non-routé - Votre FAI vous enverra directement le trafic de
-        chaque adresse directement.</para>
+        <para><emphasis role="bold">Non-routed</emphasis> - Votre FAI vous
+        donnera directement le trafic de chaque adresse directement.</para>
       </listitem>
     </itemizedlist>
 
@@ -1255,10 +1233,11 @@
 
     <para>Avant de commencer, il y a une chose que vous devez vérifier:</para>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> Si vous utilisez le
-    package Debian, vérifier svp votre fichier shorewall.conf afin de
-    contrôler les paramètres suivants; si ce n&#39;est pas juste, appliquer
-    les&#x00A0; changements nécessaires:</para>
+    <para><inlinegraphic fileref="images/BD21298_.gif" /></para>
+
+    <para>Si vous utilisez le package Debian, vérifier svp votre fichier
+    shorewall.conf afin de contrôler les paramètres suivants; si ce n'est pas
+    juste, appliquer les changements nécessaires:</para>
 
     <itemizedlist>
       <listitem>
@@ -1270,17 +1249,17 @@
       </listitem>
     </itemizedlist>
 
-    <section>
+    <section id="Routed">
       <title>Routage</title>
 
-      <para>Supposons que votre fournisseur d&#39;accès FAI vous a assigné le
-      sous-réseau 192.0.2.64/28 routé à travers 192.0.2.65. cela veut dire que
-      vous avez les adresses IP&#x00A0; 192.0.2.64 - 192.0.2.79 et que
-      l&#39;adresse externe de votre firewall est 192.0.2.65. Votre FAI vous a
-      aussi dit que vous pouvez utiliser le masque de réseau 255.255.255.0
-      (ainsi votre /28 est une partie de /24). Avec ces adresses IP, vous
-      pouvez scinder votre réseau /28 en deux /29 et configurer votre réseau
-      comme l&#39;indique le diagramme suivant.</para>
+      <para>Supposons que votre fournisseur d'accès FAI vous a assigné le
+      sous-réseau 192.0.2.64/28 routé à travers 192.0.2.65. Cela veut dire que
+      vous avez les adresses IP 192.0.2.64 - 192.0.2.79 et que l'adresse
+      externe de votre firewall est 192.0.2.65. Votre FAI vous a aussi dit que
+      vous pouvez utiliser le masque de réseau 255.255.255.0 (ainsi votre /28
+      est une partie de /24). Avec ces adresses IP, vous pouvez scinder votre
+      réseau /28 en deux /29 et configurer votre réseau comme l'indique le
+      diagramme suivant.</para>
 
       <graphic align="center" fileref="images/dmz4.png" />
 
@@ -1291,108 +1270,107 @@
       192.0.2.73.</para>
 
       <para>Notez que cet arrangement est plus gourmand en adresses publiques
-      puisqu&#39;il utilise 192.0.2.64 et 192.0.2.72 pour les adresses du
+      puisqu'il utilise 192.0.2.64 et 192.0.2.72 pour les adresses du
       sous-réseau, 192.0.2.71 et 192.0.2.79 pour les adresses broadcast du
       réseau, de même que 192.0.2.66 et 168.0.2.73 pour les adresses internes
       que le firewall/routeur. Néanmoins, cela montre comment nous pouvons
-      faire avec un réseau /24 plutôt qu&#39;un /28, l&#39;utilisation de 6
-      adresses IP parmi les 256 peut être justifié par la simplicité du
+      faire avec un réseau /24 plutôt qu'un /28, l'utilisation de 6 adresses
+      IP parmi les 256 peut être justifié par la simplicité du
       paramétrage.</para>
 
-      <para>Le lecteur astucieux aura remarqué que l&#39;interface externe du
-      firewall/Routeur est actuellement inclus dans le sous-réseau DMZ
+      <para>Le lecteur astucieux aura remarqué que l'interface externe du
+      firewall/Routeur est actuellement incluse dans le sous-réseau DMZ
       (192.0.2.64/29). Que se passe-t-il si DMZ 1 (192.0.2.67) essaye de
       communiquer avec 192.0.2.65? La table de routage sur DMZ 1 peut
       ressembler à cela:</para>
 
-      <programlisting>        Kernel IP routing table
-        Destination      Gateway         Genmask         Flags MSS Window irtt Iface
-        192.0.2.64       0.0.0.0         255.255.255.248 U     40  0         0 eth0
-        0.0.0.0          192.0.2.66      0.0.0.0         UG    40  0         0 eth0</programlisting>
+      <programlisting format="linespecific">Kernel IP routing table
+Destination    Gateway     Genmask         Flags MSS Window irtt Iface
+192.0.2.64     0.0.0.0     255.255.255.248 U     40  0         0 eth0
+0.0.0.0        192.0.2.66  0.0.0.0         UG    40  0         0 eth0</programlisting>
 
-      <para>Cela indique que DMZ 1 enverra une requête ARP &#34;qui-a
-      192.0.2.65&#34; et aucune interface sur le segment Ethernet DMZ&#x00A0;
-      à cette adresse IP. Assez bizarrement, le firewall répondra à la requête
-      avec l&#39;adresse MAC de sa propre <emphasis role="underline">Interface
-      DMZ!!</emphasis> DMZ 1 peut alors envoyer des trames Ethernet frames
-      adressées à cette adresse MAC et les trames seront reçues (correctement)
-      par le firewall/routeur.</para>
+      <para>Cela indique que DMZ 1 enverra une requête ARP "qui a 192.0.2.65"
+      et aucune interface sur le segment Ethernet DMZ à cette adresse IP.
+      Assez bizarrement, le firewall répondra à la requête avec l'adresse MAC
+      de sa propre <emphasis role="underline">DMZ Interface</emphasis>!! DMZ 1
+      peut alors envoyer des trames Ethernet adressées à cette adresse MAC et
+      les trames seront reçues (correctement) par le firewall/routeur.</para>
 
-      <para>C&#39;est plutôt une possibilité inattendue d&#39;ARP sur la
-      partie du Noyau Linux qui pousse cet avertissement très tôt dans ce
-      manuel à propos de la connexion de plusieurs interfaces firewall/routeur
-      au même hub ou switch. Quant une requête ARP destiné à une des adresses
-      firewall/routeur est envoyé par un autre système connecté au hub/switch,
-      toutes les interfaces du firewall qui se connectent au hub/switch
-      peuvent répondre! C&#39;est alors une course à la réponse qui
-      &#34;est-là&#34; qui atteindra en premier l&#39;émetteur.</para>
+      <para>C'est plutôt une possibilité inattendue d'ARP sur la partie du
+      Noyau Linux qui pousse cet avertissement très tôt dans ce manuel à
+      propos de la connexion de plusieurs interfaces firewall/routeur au même
+      hub ou switch. Quant une requête ARP destinée à une des adresses
+      firewall/routeur est envoyée par un autre système connecté au
+      hub/switch, toutes les interfaces du firewall qui se connectent au
+      hub/switch peuvent répondre! C'est alors une course à la réponse qui
+      "est-là" qui atteindra en premier l'émetteur.</para>
     </section>
 
-    <section>
+    <section id="NonRouted">
       <title>Non-routé</title>
 
       <para>Avec la situation précédente mais non-routé, vous pouvez
       configurer votre réseau exactement comme décrit ci-dessus avec une
-      condition supplémentaire; spécifiez simplement l&#39;option
-      &#34;proxyarp&#34; sur les trois interfaces du firewall dans le fichier
-      /etc/shorewall/interfaces.</para>
+      condition supplémentaire; spécifiez simplement l'option
+      <quote>proxyarp</quote> sur les trois interfaces du firewall dans le
+      fichier /etc/shorewall/interfaces file.</para>
 
-      <para>La plus part d&#39;entre nous n&#39;a pas le luxe d&#39;avoir
-      assez d&#39;adresses publiques IP pour configurer notre réseau comme
-      montré dans le précédent exemple (même&#x00A0; si la configuration est
-      routé).</para>
+      <para>La plus part d'entre nous n'ont pas le luxe d'avoir assez
+      d'adresses publiques IP pour configurer notre réseau comme montré dans
+      le précédent exemple (même si la configuration est routée).</para>
 
       <para><emphasis role="bold">Pour le besoin de cette section, admettons
       que notre FAI nous a assigné les adresses IP 192.0.2.176-180 et nous a
-      dit d&#39;utiliser le masque de réseau 255.255.255.0 et la passerelle
-      par défaut 192.0.2.254.</emphasis></para>
+      dit d'utiliser le masque de réseau 255.255.255.0 et la passerelle par
+      défaut 192.0.2.254.</emphasis></para>
 
-      <para>Clairement, ce jeu d&#39;adresses ne comprend pas de sous-réseau
-      et n&#39;a pas suffisamment d&#39;adresses pour toutes les interfaces de
-      notre réseau. Il y a quatre possibilités qui peuvent être utilisées pour
-      règler ce problème.</para>
+      <para>Clairement, ce jeu d'adresses ne comprend pas de sous-réseau et
+      n'a pas suffisamment d'adresses pour toutes les interfaces de notre
+      réseau. Il y a quatre possibilités qui peuvent être utilisées pour
+      régler ce problème.</para>
 
       <itemizedlist>
         <listitem>
-          <para>Translation d&#39;Adresses Réseau Source : Source Network
-          Address Translation (SNAT).</para>
+          <para><emphasis>Source Network Address Translation</emphasis>
+          (SNAT).</para>
         </listitem>
 
         <listitem>
-          <para>Translation d&#39;Adresses Réseau Destination : Destination
-          Network Address Translation (DNAT) aussi nommé Port Forwarding.</para>
+          <para><emphasis>Destination Network Address Translation</emphasis>
+          (DNAT) aussi nommé <emphasis>Port Forwarding</emphasis>.</para>
         </listitem>
 
         <listitem>
-          <para>Proxy ARP.</para>
+          <para><emphasis>Proxy ARP</emphasis>.</para>
         </listitem>
 
         <listitem>
-          <para>Translation d&#39;&#39;Adresses Réseau : Network Address
-          Translation (NAT) aussi appelé One-to-one NAT.</para>
+          <para><emphasis>Network Address Translation</emphasis> (NAT) aussi
+          appelé <emphasis>One-to-one NA</emphasis>T.</para>
         </listitem>
       </itemizedlist>
 
       <para>Souvent une combinaison de ces techniques est utilisée. Chacune
-      d&#39;entre elle sera détaillée dans la section suivante.</para>
+      d'entre elle sera détaillée dans la section suivante.</para>
 
-      <section>
+      <section id="SNAT">
         <title>SNAT</title>
 
         <para>Avec SNAT, un segment interne LAN est configuré en utilisant les
         adresses RFC 1918. Quant un hôte <emphasis role="bold">A</emphasis>
-        sur ce segment interne initialise une connexion à l&#39;hôte <emphasis
+        sur ce segment interne initialise une connexion vers un hôte <emphasis
         role="bold">B</emphasis> sur Internet, le firewall/routeur réécrit les
         entêtes IP dans la requête pour utiliser une de vos adresses publiques
-        IP en tant qu&#39;adresse source. Quant <emphasis role="bold">B</emphasis>
+        IP en tant qu'adresse source. Quant <emphasis role="bold">B</emphasis>
         répond et que la réponse est reçu par le firewall, le firewall change
-        l&#39;adresse destination par celle RFC 1918 de <emphasis role="bold">A</emphasis>
-        et renvoi la réponse à <emphasis role="bold">A.</emphasis></para>
+        l'adresse destination par celle RFC 1918 de <emphasis
+        role="bold">A</emphasis> et renvoi la réponse à <emphasis
+        role="bold">A.</emphasis></para>
 
-        <para>Supposons que vous décidiez d&#39;utiliser SNAT sur votre zone
-        locale et utilisiez l&#39;adresse publique 192.0.2.176 à la fois comme
-        adresse externe du firewall et l&#39;adresse source des requêtes
-        Internet envoyées depuis cette zone.</para>
+        <para>Supposons que vous décidiez d'utiliser SNAT sur votre zone
+        locale et utilisiez l'adresse publique 192.0.2.176 à la fois comme
+        adresse externe du firewall et l'adresse source des requêtes Internet
+        envoyées depuis cette zone.</para>
 
         <graphic align="center" fileref="images/dmz5.png" />
 
@@ -1400,119 +1378,67 @@
         (netmask 255.255.255.248).</para>
 
         <simplelist>
-          <member><inlinegraphic fileref="images/BD21298_.gif" /> Le système
-          dans la zone locale pourra être configuré avec la passerelle par
-          défaut 192.168.201.1 (L&#39;adresse IP de l&#39;interface local du
-          firewall).</member>
+          <member><inlinegraphic fileref="images/BD21298_.gif" /></member>
 
-          <member><inlinegraphic fileref="images/BD21298_.gif" /> SNAT est
-          configuré dans Shorewall avec le fichier <ulink
-          url="Documentation.htm#Masq">/etc/shorewall/masq</ulink>.</member>
+          <member>Le système dans la zone locale pourra être configuré avec la
+          passerelle par défaut 192.168.201.1 (L'adresse IP de l'interface
+          local du firewall).</member>
+
+          <member><inlinegraphic fileref="images/BD21298_.gif" /></member>
+
+          <member>SNAT est configuré dans Shorewall avec le fichier
+          <filename><ulink
+          url="Documentation.htm#Masq">/etc/shorewall/masq</ulink></filename>.</member>
         </simplelist>
 
-        <informaltable>
-          <tgroup cols="3">
-            <thead>
-              <row>
-                <entry>INTERFACE</entry>
-
-                <entry>SOUS-RESEAU</entry>
-
-                <entry>ADDRESSE</entry>
-              </row>
-            </thead>
-
-            <tbody>
-              <row>
-                <entry>eth0</entry>
-
-                <entry>192.168.201.0/29</entry>
-
-                <entry>192.0.2.176</entry>
-              </row>
-            </tbody>
-          </tgroup>
-        </informaltable>
+        <programlisting>#INTERFACE     SUBNET               ADDRESS
+eth0           192.168.201.0/29     192.0.2.176</programlisting>
 
         <para>Cet exemple utilise la technique normale pour assigner la même
-        adresse publique IP pour l&#39;interface externe du firewall et pour
-        SNAT. Si vous souhaitez utiliser une adresse IP différente, vous
-        pouvez soit utiliser les outils de configuration réseau de votre
-        distribution pour ajouter cette adresse IP ou vous pouvez mettre la
-        variable ADD_SNAT_ALIASES=Yes dans /etc/shorewall/shorewall.conf si
-        bien que Shorewall ajoutera l&#39;adresse pour vous.</para>
+        adresse publique IP pour l'interface externe du firewall et pour SNAT.
+        Si vous souhaitez utiliser une adresse IP différente, vous pouvez soit
+        utiliser les outils de configuration réseau de votre distribution pour
+        ajouter cette adresse IP ou vous pouvez mettre la variable
+        ADD_SNAT_ALIASES=Yes dans /etc/shorewall/shorewall.conf si bien que
+        Shorewall ajoutera l'adresse pour vous.</para>
       </section>
 
-      <section>
+      <section id="dnat">
         <title>DNAT</title>
 
         <para>Quant SNAT est utilisé, il est impossible pour les hôtes sur
-        Internet d&#39;initialiser une connexion avec un des systèmes puisque
-        ces systèmes n&#39;ont pas d&#39;adresses publiques IP. DNAT fournit
-        une méthode pour autoriser des connexions sélectionnés depuis
-        Internet.</para>
+        Internet d'initialiser une connexion avec un des systèmes puisque ces
+        systèmes n'ont pas d'adresses publiques IP. DNAT fournit une méthode
+        pour autoriser des connexions sélectionnés depuis Internet.</para>
 
-        <para><inlinegraphic fileref="images/BD21298_.gif" /> Supposons que
-        votre fille souhaite héberger un server web sur son système &#34;Local
-        3&#34;. Vous pouvez autoriser les connexions d&#39;Internet à son
-        serveur en ajoutant l&#39;entrée suivante dans le fichier <ulink
-        url="Documentation.htm#Rules">/etc/shorewall/rules</ulink>:</para>
+        <para><inlinegraphic fileref="images/BD21298_.gif" /></para>
 
-        <informaltable>
-          <tgroup cols="7">
-            <thead>
-              <row>
-                <entry>ACTION</entry>
+        <para>Supposons que votre fille souhaite héberger un serveur Web sur
+        son système "Local 3". Vous pouvez autoriser les connexions d'Internet
+        à son serveur en ajoutant l'entrée suivante dans le fichier
+        <filename><ulink
+        url="Documentation.htm#Rules">/etc/shorewall/rules</ulink></filename>:</para>
 
-                <entry>SOURCE</entry>
+        <programlisting>#ACTION  SOURCE  DEST               PROTO  DEST    SOURCE    ORIGINAL
+#                                          PORT(S) PORT(S)   DEST
+DNAT     net     loc:192.168.201.4  tcp    www</programlisting>
 
-                <entry>DESTINATION</entry>
+        <para>Si une des amies de votre fille avec une adresse <emphasis
+        role="bold">A</emphasis> veut accéder au serveur de votre fille, elle
+        peut se connecter à l'adresse http://192.0.2.176 (l'adresse IP externe
+        de votre firewall) et le firewall réécrira l'adresse IP à
+        192.168.201.4 (le système de votre fille) et enverra la requête. Quant
+        le serveur de votre fille répond, le firewall réécrira la source de
+        réponse avec 192.0.2.176 et retournera la réponse à <emphasis
+        role="bold">A</emphasis>.</para>
 
-                <entry>PROTOCOL</entry>
-
-                <entry>PORT(S)</entry>
-
-                <entry>SOURCE PORT(S)</entry>
-
-                <entry>ORIGINAL DEST</entry>
-              </row>
-            </thead>
-
-            <tbody>
-              <row>
-                <entry>DNAT</entry>
-
-                <entry>net</entry>
-
-                <entry>loc:192.168.201.4</entry>
-
-                <entry>tcp</entry>
-
-                <entry>www</entry>
-
-                <entry>-</entry>
-
-                <entry>192.0.2.176</entry>
-              </row>
-            </tbody>
-          </tgroup>
-        </informaltable>
-
-        <para>Si une des amies de votre fille avec une adresse A veut accéder
-        au serveur de votre fille, elle peut se connecter à l&#39;adresse
-        http://192.0.2.176 (l&#39;adresse IP externe de votre firewall) et le
-        firewall réécrira l&#39;adresse IP à 192.168.201.4 (le système de
-        votre fille) et enverra la requête. Quant le serveur de votre fille
-        répond, le firewall réécrira la source de réponse avec 192.0.2.176 et
-        retournera la réponse à <emphasis role="bold">A</emphasis>.</para>
-
-        <para>Cet exemple l&#39;adresse externe IP du firewall pour DNAT. Vous
+        <para>Cet exemple l'adresse externe IP du firewall pour DNAT. Vous
         pouvez utiliser une autre de vos adresses IP publiques, mais Shorewall
-        n&#39;ajoutera pas pour vous cette adresse à l&#39;interface externe
-        du firewall.</para>
+        n'ajoutera pas pour vous cette adresse à l'interface externe du
+        firewall.</para>
       </section>
 
-      <section>
+      <section id="ProxyARP">
         <title>Proxy ARP</title>
 
         <para>Le principe du proxy ARP est:</para>
@@ -1522,94 +1448,61 @@
             <para>Un hôte <emphasis role="bold">H</emphasis> derrière votre
             firewall est assigné à une de vos adresses publiques (<emphasis
             role="bold">A</emphasis>), a le même masque de réseau (<emphasis
-            role="bold">M</emphasis>) que l&#39;interface externe du firewall.</para>
+            role="bold">M</emphasis>) que l'interface externe du
+            firewall.</para>
           </listitem>
 
           <listitem>
-            <para>Le firewall répond à ARP &#34;qui a&#34; demandé <emphasis
+            <para>Le firewall répond à ARP "qui a" demandé <emphasis
             role="bold">A</emphasis>.</para>
           </listitem>
 
           <listitem>
             <para>Quant <emphasis role="bold">H</emphasis> délivre une requête
-            ARP &#34;qui a&#34; pour une adresse du sous -réseau définit
-            par&#x00A0; A et <emphasis role="bold">M</emphasis>, le firewall
-            répondra (avec l&#39;adresse MAC si le firewall s&#39;interface à
-            <emphasis>H</emphasis>).</para>
+            ARP "qui a" pour une adresse du sous-réseau définit par <emphasis
+            role="bold">A</emphasis> et <emphasis role="bold">M</emphasis>, le
+            firewall répondra (avec l'adresse MAC si le firewall s'interface à
+            <emphasis role="bold">H</emphasis>).</para>
           </listitem>
         </itemizedlist>
 
-        <para>Supposons que nous décidons d&#39;utiliser Proxy ARP sur DMZ de
+        <para>Supposons que nous décidons d'utiliser Proxy ARP sur DMZ de
         notre exemple réseau.</para>
 
         <graphic align="center" fileref="images/dmz6.png" />
 
         <para>Ici, nous avons assigné les adresses IP 192.0.2.177 au système
         DMZ 1 et 192.0.2.178 à DMZ 2. Notez que nous avons juste assigné une
-        adresse arbitraire RFC 1918 et un masque de sous-réseau à
-        l&#39;interface DMZ de notre firewall. Cette adresse et le masque ne
-        sont pas pertinentes - vérifiez juste que celle-ci n&#39;écrase pas un
-        autre sous-réseau déjà définit.</para>
+        adresse arbitraire RFC 1918 et un masque de sous-réseau à l'interface
+        DMZ de notre firewall. Cette adresse et le masque ne sont pas
+        pertinentes - vérifiez juste que celle-ci n'écrase pas un autre
+        sous-réseau déjà défini.</para>
+
+        <para><inlinegraphic fileref="images/BD21298_.gif" /></para>
 
         <para>La configuration de Proxy ARP est faite dans le fichier <ulink
-        url="ProxyARP.htm">/etc/shorewall/proxyarp</ulink>.</para>
+        url="ProxyARP.htm"><filename>/etc/shorewall/proxyarp</filename></ulink>.</para>
 
-        <informaltable>
-          <tgroup cols="4">
-            <thead>
-              <row>
-                <entry>ADDRESS</entry>
+        <programlisting>#ADDRESS     EXTERNAL     INTERFACE     HAVE ROUTE
+192.0.2.177  eth2         eth0          No
+192.0.2.178  eth2         eth0          No</programlisting>
 
-                <entry>EXTERNAL</entry>
+        <para>Parce que la variable HAVE ROUTE contient No, Shorewall ajoutera
+        les routes d'hôte à travers eth2 à 192.0.2.177 et 192.0.2.178. Les
+        interfaces ethernet de DMZ 1 et DMZ 2 pourront être configurées pour
+        avoir les adresses IP apparentes mais devront avoir la même passerelle
+        par défaut que le firewall lui-même -- nommé 192.0.2.254. En d'autres
+        termes, elles pourront être configurées juste comme elles devraient
+        être si elles étaient parallèles au firewall plutôt que derrière
+        lui.</para>
 
-                <entry>INTERFACE</entry>
-
-                <entry>HAVE ROUTE</entry>
-              </row>
-            </thead>
-
-            <tbody>
-              <row>
-                <entry>192.0.2.177</entry>
-
-                <entry>eth2</entry>
-
-                <entry>eth0</entry>
-
-                <entry>No</entry>
-              </row>
-
-              <row>
-                <entry>192.0.2.178</entry>
-
-                <entry>eth2</entry>
-
-                <entry>eth0</entry>
-
-                <entry>No</entry>
-              </row>
-            </tbody>
-          </tgroup>
-        </informaltable>
-
-        <para>Parce que la&#x00A0; variable HAVE ROUTE contient No, Shorewall
-        ajoutera les routes d&#39;hôte à travers eth2 à 192.0.2.177 et
-        192.0.2.178.</para>
-
-        <para>Les interfaces ethernet de DMZ 1 et DMZ 2&#x00A0; pourront être
-        configurées pour avoir les adresses IP apparentes mais devront avoir
-        la même passerelle par défaut que le firewall lui-même -- nommé
-        192.0.2.254. En d&#39;autres termes, elles pourront être configurées
-        juste comme elles devraient être si elles étaient parallèles au
-        firewall plutôt que derrière lui.</para>
-
-        <note>
+        <caution>
           <para><emphasis role="bold">Ne pas ajouter le(s) adresse(s) ARP
-          (192.0.2.177 et 192.0.2.178 dans l&#39;exemple ci-dessus)&#x00A0; à
-          l&#39;interface externe (eth0 dans cet exemple) du firewall.</emphasis></para>
-        </note>
+          (192.0.2.177 et 192.0.2.178 dans l'exemple ci-dessus) à l'interface
+          externe (eth0 dans cet exemple) du firewall.</emphasis></para>
+        </caution>
 
-        <para>Un mot de mise en garde à sa place ici. Les FAIs configure(nt)
+        <para>Un mot de mise en garde à sa place ici. Les FAI configure(nt)
         typiquement leur routeur avec un timeout de cache ARP élevé. Si vous
         déplacer un système parallèle à votre firewall derrière le Proxy ARP
         du firewall, cela peut mettre des HEURES avant que le système puisse
@@ -1618,199 +1511,116 @@
 
         <orderedlist>
           <listitem>
-            <para>(Courtoisement de Bradey Honsinger) Une lecture de
-            Stevens&#39; TCP/IP Illustrated, Vol 1 révèle qu&#39;un paquet ARP</para>
+            <para>(Courtoisement de Bradey Honsinger) Une lecture de Stevens'
+            TCP/IP Illustrated, Vol 1 révèle qu'un paquet ARP
+            <quote>gratuitous</quote> peut entraîner le routeur de votre FAI à
+            rafraîchir son cache(section 4.7). Une "gratuitous" ARP est
+            simplement une requête d'un hôte demandant l'adresse MAC de sa
+            propre adresse IP; éventuellement pour vérifier que l'adresse IP
+            n'est pas dupliquée,...</para>
 
-            <para>&#34;gratuitous&#34; peut entraîner le routeur de votre FAI
-            à rafraîchir son cache(section 4.7). Une &#34;gratuitous&#34; ARP
-            est simplement une requête d&#39;un hôte demandant l&#39;adresse
-            MAC de sa propre adresse IP; éventuellement pour vérifier que
-            l&#39;adresse IP n&#39;est pas dupliquée,...</para>
-
-            <para>si l&#39;hôte envoyant la commande &#34;gratuitous&#34; ARP
+            <para>Si l'hôte envoyant la commande <quote>gratuitous</quote> ARP
             vient juste de changer son adresse IP..., ce paquet entraîne tous
             les autres hôtes...qui ont une entrée dans son cache pour
-            l&#39;ancienne adresse matériel de mettre à jour également ses
-            caches ARP.&#34;</para>
+            l'ancienne adresse matériel de mettre à jour également ses caches
+            ARP.</para>
 
             <para>Ce qui est exactement, bien sûr, ce que vous souhaitez faire
             lorsque vous basculez un hôte vulnérable à Internet derrière
             Shorewall utilisant proxy ARP (ou one-to-one NAT). Heureusement,
-            des packages récents (Redhat) iputils incluent &#34;arping&#34;,
-            avec l&#39;option &#34;-U&#34; qui fait cela:</para>
+            des packages récents (<trademark>Redhat</trademark>) iputils
+            incluent "arping", avec l'option "-U" qui fait cela:</para>
 
-            <para><programlisting>        arping -U -I &#60;net if&#62; &#60;newly proxied IP&#62;
-        arping -U -I eth0 66.58.99.83 # for example</programlisting>Stevens
+            <para><programlisting><command>arping -U -I &lt;net if&gt; &lt;newly proxied IP&gt;</command>
+
+<command>arping -U -I eth0 66.58.99.83</command> # for example</programlisting>Stevens
             continue en mentionnant que tous les systèmes répondent
-            correctement au gratuitous ARPs,&#x00A0; et&#x00A0;
-            &#34;googling&#34; pour &#34;arping -U&#34; semble aller dans ce
-            sens.</para>
+            correctement au gratuitous ARPs,et <quote>googling</quote> pour
+            <quote>arping -U</quote> semble aller dans ce sens.</para>
           </listitem>
 
           <listitem>
-            <para>Vous pouvez appeler votre FAI et dire de purger
-            l&#39;ancienne entrée du cache ARP mais la plupart ne veulent ou
-            ne peuvent le faire.</para>
+            <para>Vous pouvez appeler votre FAI et dire de purger l'ancienne
+            entrée du cache ARP mais la plupart ne veulent ou ne peuvent le
+            faire.</para>
           </listitem>
         </orderedlist>
 
         <para>Vous pouvez vérifier si le cache ARP de votre FAI est ancien en
-        utilisant ping et tcpdump. Supposez que vous pensez que la
-        passerelle&#x00A0; routeur a une ancienne entrée ARP pour 192.0.2.177.
-        Sur le firewall, lancez tcpdump de cette façon:</para>
+        utilisant ping et tcpdump. Supposez que vous pensez que la passerelle
+        routeur a une ancienne entrée ARP pour 192.0.2.177. Sur le firewall,
+        lancez tcpdump de cette façon:</para>
 
-        <para><programlisting>        tcpdump -nei eth0 icmp</programlisting></para>
+        <para><programlisting><command>tcpdump -nei eth0 icmp</command></programlisting></para>
 
         <para>Maintenant depuis 192.0.2.177, utilisez ping vers la passerelle
-        du FAI&#x00A0; (que nous supposons être 192.0.2.254):</para>
+        du FAI (que nous supposons être 192.0.2.254):</para>
 
-        <para><programlisting>        ping 192.0.2.254</programlisting></para>
+        <para><programlisting><command>ping 192.0.2.254</command></programlisting></para>
 
         <para>Nous pouvons maintenant observer le résultat de tcpdump:</para>
 
-        <para><programlisting>       13:35:12.159321 0:4:e2:20:20:33 0:0:77:95:dd:19 ip 98: 192.0.2.177 &#62; 192.0.2.254: icmp: echo request (DF)
-       13:35:12.207615 0:0:77:95:dd:19 0:c0:a8:50:b2:57 ip 98: 192.0.2.254 &#62; 192.0.2.177 : icmp: echo reply</programlisting>Notez
-        que l&#39;adresse source&#x00A0; MAC dans la requête&#x00A0;
-        echo&#x00A0; est différente de&#x00A0; l&#39;adresse de destination
-        dans&#x00A0; la réponse&#x00A0; echo!! Dans le cas ou 0:4:e2:20:20:33
-        était l&#39;adresse MAC de l&#39;interface NIC eth0 du firewall tandis
-        que 0:c0:a8:50:b2:57 était l&#39;adresse MAC de DMZ 1. En
-        d&#39;autre&#x00A0; termes, le cache ARP de la passerelle associe
-        encore 192.0.2.177 avec la NIC de DMZ 1 plutôt qu&#39;avec eth0 du
-        firewall.</para>
+        <para><programlisting>13:35:12.159321 <emphasis role="bold">0:4:e2:20:20:33</emphasis> 0:0:77:95:dd:19 ip 98:
+                192.0.2.177 &gt; 192.0.2.254: icmp: echo request (DF)
+13:35:12.207615 0:0:77:95:dd:19 <emphasis role="bold">0:c0:a8:50:b2:57</emphasis> ip 98:
+                192.0.2.254 &gt; 192.0.2.177 : icmp: echo reply</programlisting>Notez
+        que l'adresse source MAC dans la requête echo est différente de
+        l'adresse de destination dans la réponse echo!! Dans le cas ou
+        0:4:e2:20:20:33 était l'adresse MAC de l'interface NIC eth0 du
+        firewall tandis que 0:c0:a8:50:b2:57 était l'adresse MAC de DMZ 1. En
+        d'autre termes, le cache ARP de la passerelle associe encore
+        192.0.2.177 avec la NIC de DMZ 1 plutôt qu'avec <filename
+        class="devicefile">eth0</filename> du firewall.</para>
       </section>
 
       <section>
-        <title>One-to-one NAT</title>
+        <title id="NAT">One-to-one NAT</title>
 
         <para>Avec one-to-one NAT, vous assignez les adresses systèmes RFC
-        1918 puis établissez une à une l&#39;assignation entre ces adresses et
-        les adresses publiques. Pour les occurrences des connexions sortantes
-        SNAT (Source Network Address Translation) et pour les occurrences des
+        1918 puis établissez une à une l'assignation entre ces adresses et les
+        adresses publiques. Pour les occurrences des connexions sortantes SNAT
+        (Source Network Address Translation) et pour les occurrences des
         connexions entrantes DNAT (Destination Network Address Translation).
-        Voyons avec l&#39;exemple précédent du serveur web de votre fille
-        tournant sur le système Local 3.</para>
+        Voyons avec l'exemple précédent du serveur web de votre fille tournant
+        sur le système Local 3.</para>
 
         <graphic align="center" fileref="images/dmz6.png" />
 
         <para>Rappel du paramétrage, le réseau local utilise SNAT et partage
-        l&#39;IP externe du firewall (192.0.2.176) pour les connexions
-        sortantes. cela est obtenu avec l&#39;entrée suivante dans le fichier
-        /etc/shorewall/masq:</para>
+        l'IP externe du firewall (192.0.2.176) pour les connexions sortantes.
+        Cela est obtenu avec l'entrée suivante dans le fichier
+        <filename>/etc/shorewall/masq</filename>:</para>
 
-        <informaltable>
-          <tgroup cols="3">
-            <thead>
-              <row>
-                <entry>INTERFACE</entry>
+        <programlisting>#INTERFACE     SUBNET               ADDRESS
+eth0           192.168.201.0/29     192.0.2.176</programlisting>
 
-                <entry>SOUS-RESEAU</entry>
+        <para><inlinegraphic fileref="images/BD21298_.gif" /></para>
 
-                <entry>ADDRESSE</entry>
-              </row>
-            </thead>
+        <para>Supposons maintenant que vous avez décidé d'allouer à votre
+        fille sa propre adresse IP (192.0.2.179) pour l'ensemble des
+        connexions entrantes et sortantes. Vous devrez faire cela en ajoutant
+        une entrée dans le fichier<filename><ulink url="NAT.htm">
+        /etc/shorewall/nat</ulink></filename>.</para>
 
-            <tbody>
-              <row>
-                <entry>eth0</entry>
-
-                <entry>192.168.201.0/29</entry>
-
-                <entry>192.0.2.176</entry>
-              </row>
-            </tbody>
-          </tgroup>
-        </informaltable>
-
-        <para><inlinegraphic fileref="images/BD21298_.gif" /> Supposons
-        maintenant que vous avez décidé d&#39;allouer à votre fille sa propre
-        adresse IP (192.0.2.179) pour l&#39;ensemble des connexions entrantes
-        et sortantes. Vous devrez faire cela en ajoutant une entrée dans le
-        fichier<ulink url="NAT.htm">/etc/shorewall/nat</ulink>.</para>
-
-        <informaltable>
-          <tgroup cols="5">
-            <thead>
-              <row>
-                <entry>EXTERNAL</entry>
-
-                <entry>INTERFACE</entry>
-
-                <entry>INTERNAL</entry>
-
-                <entry>ALL INTERFACES</entry>
-
-                <entry>LOCAL</entry>
-              </row>
-            </thead>
-
-            <tbody>
-              <row>
-                <entry>192.0.2.179</entry>
-
-                <entry>eth0</entry>
-
-                <entry>192.168.201.4</entry>
-
-                <entry>No</entry>
-
-                <entry>No</entry>
-              </row>
-            </tbody>
-          </tgroup>
-        </informaltable>
+        <programlisting>#EXTERNAL   INTERFACE   INTERNAL       ALL INTERFACES   LOCAL
+192.0.2.179 eth0        192.168.201.4  No               No</programlisting>
 
         <para>Avec cette entrée active, votre fille a sa propre adresse IP et
-        les deux autres systèmes locaux partagent l&#39;adresse IP du
+        les deux autres systèmes locaux partagent l'adresse IP du
         firewall.</para>
 
-        <para><inlinegraphic fileref="images/BD21298_.gif" /> Une fois que la
-        relation entre 192.0.2.179 et192.168.201.4 est établie par
-        l&#39;entrée ci-dessus, ce n&#39;est pas nécessaire d&#39;utiliser une
-        règle DNAT pour le serveur web de votre fille -- vous devez simplement
+        <para><inlinegraphic fileref="images/BD21298_.gif" /></para>
+
+        <para>Une fois que la relation entre 192.0.2.179 et192.168.201.4 est
+        établie par l'entrée ci-dessus, ce n'est pas nécessaire d'utiliser une
+        règle DNAT pour le serveur Web de votre fille -- vous devez simplement
         utiliser une règle ACCEPT:</para>
 
-        <informaltable>
-          <tgroup cols="7">
-            <thead>
-              <row>
-                <entry>ACTION</entry>
+        <programlisting>#ACTION  SOURCE  DEST               PROTO  DEST    SOURCE    ORIGINAL
+#                                          PORT(S) PORT(S)   DEST
+ACCEPT   net     loc:192.168.201.4  tcp    www</programlisting>
 
-                <entry>SOURCE</entry>
-
-                <entry>DESTINATION</entry>
-
-                <entry>PROTOCOL</entry>
-
-                <entry>PORT(S)</entry>
-
-                <entry>SOURCE PORT(S)</entry>
-
-                <entry>ORIGINAL DEST</entry>
-              </row>
-            </thead>
-
-            <tbody>
-              <row>
-                <entry>ACCEPT</entry>
-
-                <entry>net</entry>
-
-                <entry>loc:192.168.201.4</entry>
-
-                <entry>tcp</entry>
-
-                <entry>www</entry>
-
-                <entry></entry>
-
-                <entry></entry>
-              </row>
-            </tbody>
-          </tgroup>
-        </informaltable>
-
-        <para>Un mot de mise en garde à sa place ici. Les FAIs configure(nt)
+        <para>Un mot de mise en garde à sa place ici. Les FAI configure(nt)
         typiquement leur routeur avec un timeout de cache ARP élevé. Si vous
         déplacer un système parallèle à votre firewall derrière le One-on-one
         NAT du firewall, cela peut mettre des HEURES avant que le système
@@ -1819,80 +1629,81 @@
 
         <orderedlist>
           <listitem>
-            <para>(Courtoisement de Bradey Honsinger) Une lecture de
-            Stevens&#39; TCP/IP Illustrated, Vol 1 révèle qu&#39;un paquet ARP</para>
+            <para>(Courtoisement de Bradey Honsinger) Une lecture de Stevens'
+            TCP/IP Illustrated, Vol 1 révèle qu'un paquet ARP
+            <quote>gratuitous</quote> peut entraîner le routeur de votre FAI à
+            rafraîchir son cache(section 4.7). Une "gratuitous" ARP est
+            simplement une requête d'un hôte demandant l'adresse MAC de sa
+            propre adresse IP; éventuellement pour vérifier que l'adresse IP
+            n'est pas dupliquée,...</para>
 
-            <para>&#34;gratuitous&#34; peut entraîner le routeur de votre FAI
-            à rafraîchir son cache(section 4.7). Une &#34;gratuitous&#34; ARP
-            est simplement une requête d&#39;un hôte demandant l&#39;adresse
-            MAC de sa propre adresse IP; éventuellement pour vérifier que
-            l&#39;adresse IP n&#39;est pas dupliquée,...</para>
-
-            <para>si l&#39;hôte envoyant la commande &#34;gratuitous&#34; ARP
+            <para>Si l'hôte envoyant la commande <quote>gratuitous</quote> ARP
             vient juste de changer son adresse IP..., ce paquet entraîne tous
             les autres hôtes...qui ont une entrée dans son cache pour
-            l&#39;ancienne adresse matériel de mettre à jour également ses
-            caches ARP.&#34;</para>
+            l'ancienne adresse matériel de mettre à jour également ses caches
+            ARP.</para>
 
             <para>Ce qui est exactement, bien sûr, ce que vous souhaitez faire
             lorsque vous basculez un hôte vulnérable à Internet derrière
             Shorewall utilisant proxy ARP (ou one-to-one NAT). Heureusement,
-            des packages récents (Redhat) iputils incluent &#34;arping&#34;,
-            avec l&#39;option &#34;-U&#34; qui fait cela:</para>
+            des packages récents (<trademark>Redhat</trademark>) iputils
+            incluent "arping", avec l'option "-U" qui fait cela:</para>
 
-            <para><programlisting>        arping -U -I &#60;net if&#62; &#60;newly proxied IP&#62;
-        arping -U -I eth0 66.58.99.83 # for example</programlisting>Stevens
+            <para><programlisting><command>arping -U -I &lt;net if&gt; &lt;newly proxied IP&gt;</command>
+
+<command>arping -U -I eth0 66.58.99.83</command> # for example</programlisting>Stevens
             continue en mentionnant que tous les systèmes répondent
-            correctement au gratuitous ARPs,&#x00A0; et&#x00A0;
-            &#34;googling&#34; pour &#34;arping -U&#34; semble aller dans ce
-            sens.</para>
+            correctement au gratuitous ARPs,et <quote>googling</quote> pour
+            <quote>arping -U</quote> semble aller dans ce sens.</para>
           </listitem>
 
           <listitem>
-            <para>Vous pouvez appeler votre FAI et dire de purger
-            l&#39;ancienne entrée du cache ARP mais la plupart ne veulent ou
-            ne peuvent le faire.</para>
+            <para>Vous pouvez appeler votre FAI et dire de purger l'ancienne
+            entrée du cache ARP mais la plupart ne veulent ou ne peuvent le
+            faire.</para>
           </listitem>
         </orderedlist>
 
         <para>Vous pouvez vérifier si le cache ARP de votre FAI est ancien en
-        utilisant ping et tcpdump. Supposez que vous pensez que la
-        passerelle&#x00A0; routeur a une ancienne entrée ARP pour 192.0.2.177.
-        Sur le firewall, lancez tcpdump de cette façon:</para>
+        utilisant ping et tcpdump. Supposez que vous pensez que la passerelle
+        routeur a une ancienne entrée ARP pour 192.0.2.177. Sur le firewall,
+        lancez tcpdump de cette façon::</para>
 
-        <para><programlisting>        tcpdump -nei eth0 icmp</programlisting></para>
+        <para><programlisting><command>tcpdump -nei eth0 icmp</command></programlisting></para>
 
         <para>Maintenant depuis 192.0.2.177, utilisez ping vers la passerelle
-        du FAI&#x00A0; (que nous supposons être 192.0.2.254):</para>
+        du FAI (que nous supposons être 192.0.2.254):</para>
 
-        <para><programlisting>        ping 192.0.2.254</programlisting></para>
+        <para><programlisting><command>ping 192.0.2.254</command></programlisting></para>
 
         <para>Nous pouvons maintenant observer le résultat de tcpdump:</para>
 
-        <para><programlisting>       13:35:12.159321 <emphasis
-role="underline">0:4:e2:20:20:33</emphasis> 0:0:77:95:dd:19 ip 98: 192.0.2.177 &#62; 192.0.2.254: icmp: echo request (DF)
-       13:35:12.207615 0:0:77:95:dd:19 <emphasis role="underline">0:c0:a8:50:b2:57</emphasis> ip 98: 192.0.2.254 &#62; 192.0.2.177 : icmp: echo reply</programlisting>Notez
-        que l&#39;adresse source&#x00A0; MAC dans la requête&#x00A0;
-        echo&#x00A0; est différente de&#x00A0; l&#39;adresse de destination
-        dans&#x00A0; la réponse&#x00A0; echo!! Dans le cas ou 0:4:e2:20:20:33
-        était l&#39;adresse MAC de l&#39;interface NIC eth0 du firewall tandis
-        que 0:c0:a8:50:b2:57 était l&#39;adresse MAC de DMZ 1. En
-        d&#39;autre&#x00A0; termes, le cache ARP de la passerelle associe
-        encore 192.0.2.177 avec la NIC de DMZ 1 plutôt qu&#39;avec eth0 du
-        firewall.</para>
+        <para><programlisting>13:35:12.159321 <emphasis role="bold">0:4:e2:20:20:33</emphasis> 0:0:77:95:dd:19 ip 98:
+                192.0.2.177 &gt; 192.0.2.254: icmp: echo request (DF)
+13:35:12.207615 0:0:77:95:dd:19 <emphasis role="bold">0:c0:a8:50:b2:57</emphasis> ip 98:
+                192.0.2.254 &gt; 192.0.2.177 : icmp: echo reply</programlisting>Notez
+        que l'adresse source MAC dans la requête echo est différente de
+        l'adresse de destination dans la réponse echo!! Dans le cas ou
+        0:4:e2:20:20:33 était l'adresse MAC de l'interface NIC eth0 du
+        firewall tandis que 0:c0:a8:50:b2:57 était l'adresse MAC de DMZ 1. En
+        d'autre termes, le cache ARP de la passerelle associe encore
+        192.0.2.177 avec la NIC de DMZ 1 plutôt qu'avec <filename
+        class="devicefile">eth0</filename> du firewall.</para>
       </section>
     </section>
 
-    <section>
+    <section id="Rules">
       <title>Règles</title>
 
-      <para>Avec les polices par défaut, vos systèmes locaux (Local 1-3)
+      <para><inlinegraphic fileref="images/BD21298_.gif" /></para>
+
+      <para>Avec les politiques par défaut, vos systèmes locaux (Local 1-3)
       peuvent accéder à tous les serveurs sur Internet et la DMZ ne peut
       accéder à aucun autre hôte (incluant le firewall). Avec les exceptions
-      des règles règles NAT qui entraîne la translation d&#39;adresses et
-      permet aux requêtes de connexion translatées de passer&#x00A0; à travers
-      le firewall, la façon d&#39;autoriser des requêtes à travers le firewall
-      est d&#39;utiliser des règles ACCEPT.</para>
+      des règles règles NAT qui entraînent la translation d'adresses et permet
+      aux requêtes de connexion translatées de passer à travers le firewall,
+      la façon d'autoriser des requêtes à travers le firewall est d'utiliser
+      des règles ACCEPT.</para>
 
       <note>
         <para>Puisque les colonnes SOURCE PORT et ORIG. DEST. ne sont pas
@@ -1901,1168 +1712,367 @@ role="underline">0:4:e2:20:20:33</emphasis> 0:0:77:95:dd:19 ip 98: 192.0.2.177 &
 
       <para>Vous souhaiter certainement autoriser ping entre vos zones:</para>
 
-      <informaltable>
-        <tgroup cols="5">
-          <thead>
-            <row>
-              <entry>ACTION</entry>
-
-              <entry>SOURCE</entry>
-
-              <entry>DESTINATION</entry>
-
-              <entry>PROTOCOL</entry>
-
-              <entry>PORT(S)</entry>
-            </row>
-          </thead>
-
-          <tbody>
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>net</entry>
-
-              <entry>dmz</entry>
-
-              <entry>icmp</entry>
-
-              <entry>echo-request</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>net</entry>
-
-              <entry>loc</entry>
-
-              <entry>icmp</entry>
-
-              <entry>echo-request</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>dmz</entry>
-
-              <entry>loc</entry>
-
-              <entry>icmp</entry>
-
-              <entry>echo-request</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>loc</entry>
-
-              <entry>dmz</entry>
-
-              <entry>icmp</entry>
-
-              <entry>echo-request</entry>
-            </row>
-          </tbody>
-        </tgroup>
-      </informaltable>
+      <programlisting>#ACTION  SOURCE  DEST               PROTO  DEST   
+#                                          PORT(S)
+ACCEPT   net     dmz                icmp   echo-request
+ACCEPT   net     loc                icmp   echo-request
+ACCEPT   dmz     loc                icmp   echo-request
+ACCEPT   loc     dmz                icmp   echo-request</programlisting>
 
       <para>En supposant que vous avez des serveurs mail et pop3 actifs sur
       DMZ 2 et un serveur Web sur DMZ 1. Les règles dont vous avez besoin
       sont:</para>
 
-      <informaltable>
-        <tgroup cols="6">
-          <thead>
-            <row>
-              <entry>ACTION</entry>
-
-              <entry>SOURCE</entry>
-
-              <entry>DESTINATION</entry>
-
-              <entry>PROTOCOL</entry>
-
-              <entry>PORT(S)</entry>
-
-              <entry>COMMENTS</entry>
-            </row>
-          </thead>
-
-          <tbody>
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>net</entry>
-
-              <entry>dmz:192.0.2.178</entry>
-
-              <entry>tcp</entry>
-
-              <entry>smtp</entry>
-
-              <entry># Mail depuis Internet</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>net</entry>
-
-              <entry>dmz:192.0.2.178</entry>
-
-              <entry>tcp</entry>
-
-              <entry>pop3</entry>
-
-              <entry># Pop3 depuis Internet</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>loc</entry>
-
-              <entry>dmz:192.0.2.178</entry>
-
-              <entry>tcp</entry>
-
-              <entry>smtp</entry>
-
-              <entry># Mail depuis le Réseau Local</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>loc</entry>
-
-              <entry>dmz:192.0.2.178</entry>
-
-              <entry>tcp</entry>
-
-              <entry>pop3</entry>
-
-              <entry># Pop3 depuis le Réseau Local</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>fw</entry>
-
-              <entry>dmz:192.0.2.178</entry>
-
-              <entry>tcp</entry>
-
-              <entry>smtp</entry>
-
-              <entry># Mail depuis le firewall</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>dmz:192.0.2.178</entry>
-
-              <entry>net</entry>
-
-              <entry>tcp</entry>
-
-              <entry>smtp</entry>
-
-              <entry># Mails vers Internet</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>net</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>tcp</entry>
-
-              <entry>http</entry>
-
-              <entry># WWW depuis le Net</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>net</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>tcp</entry>
-
-              <entry>https</entry>
-
-              <entry># HTTP sécurisé depuis le Net</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>loc</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>htp</entry>
-
-              <entry>https</entry>
-
-              <entry># HTTP sécurisé depuis le Réseau Local</entry>
-            </row>
-          </tbody>
-        </tgroup>
-      </informaltable>
+      <programlisting>#ACTION  SOURCE          DEST               PROTO  DEST    COMMENTS 
+#                                                  PORT(S)
+ACCEPT   net             dmz:192.0.2.178    tcp    smtp    #Mail from
+                                                           #Internet
+ACCEPT   net             dmz:192.0.2.178    tcp    pop3    #Pop3 from
+                                                           #Internet
+ACCEPT   loc             dmz:192.0.2.178    tcp    smtp    #Mail from local
+                                                           #Network
+ACCEPT   loc             dmz:192.0.2.178    tcp    pop3    #Pop3 from local
+                                                           #Network
+ACCEPT   fw              dmz:192.0.2.178    tcp    smtp    #Mail from the
+                                                           #Firewall
+ACCEPT   dmz:192.0.2.178 net                tcp    smtp    #Mail to the
+                                                           #Internet
+ACCEPT   net             dmz:192.0.2.177    tcp    http    #WWW from
+                                                           #Internet
+ACCEPT   net             dmz:192.0.2.177    tcp    https   #Secure WWW
+                                                           #from Internet
+ACCEPT   loc             dmz:192.0.2.177    tcp    https   #Secure WWW
+                                                           #from local
+                                                           #Network</programlisting>
 
       <para>Si vous utilisez un serveur DNS publique sur 192.0.2.177, vous
       devez ajouter les règles suivantes:</para>
 
-      <informaltable>
-        <tgroup cols="6">
-          <thead>
-            <row>
-              <entry>ACTION</entry>
-
-              <entry>SOURCE</entry>
-
-              <entry>DESTINATION</entry>
-
-              <entry>PROTOCOL</entry>
-
-              <entry>PORT(S)</entry>
-
-              <entry>COMMENTS</entry>
-            </row>
-          </thead>
-
-          <tbody>
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>net</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>udp</entry>
-
-              <entry>domain</entry>
-
-              <entry># UDP DNS depuis Internet</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>net</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>tcp</entry>
-
-              <entry>domain</entry>
-
-              <entry># TCP DNS depuis Internet</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>fw</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>udp</entry>
-
-              <entry>domain</entry>
-
-              <entry># UDP DNS depuis le firewall</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>fw</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>tcp</entry>
-
-              <entry>domain</entry>
-
-              <entry># TCP DNS depuis le firewall</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>loc</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>udp</entry>
-
-              <entry>domain</entry>
-
-              <entry># UDP DNS depuis le Réseau Local</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>loc</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>tcp</entry>
-
-              <entry>domain</entry>
-
-              <entry># TCP DNS depuis le Réseau Local</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>net</entry>
-
-              <entry>udp</entry>
-
-              <entry>domain</entry>
-
-              <entry># UDP DNS vers Internet</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>net</entry>
-
-              <entry>tcp</entry>
-
-              <entry>domain</entry>
-
-              <entry># TCP DNS vers Internet</entry>
-            </row>
-          </tbody>
-        </tgroup>
-      </informaltable>
+      <programlisting>#ACTION  SOURCE          DEST               PROTO  DEST    COMMENTS 
+#                                                  PORT(S)
+ACCEPT   net             dmz:192.0.2.177    udp    domain  #UDP DNS from
+                                                           #Internet
+ACCEPT   net             dmz:192.0.2.177    tcp    domain  #TCP DNS from
+                                                           #Internet
+ACCEPT   loc             dmz:192.0.2.177    udp    domain  #UDP DNS from
+                                                           #Local Network
+ACCEPT   loc             dmz:192.0.2.177    tcp    domain  #TCP DNS from
+                                                           #Local Network
+ACCEPT   fw              dmz:192.0.2.177    udp    domain  #UDP DNS from
+                                                           #the Firewall
+ACCEPT   fw              dmz:192.0.2.177    tcp    domain  #TCP DNS from
+                                                           #the Firewall
+ACCEPT   dmz:192.0.2.177 net                udp    domain  #UDP DNS to
+                                                           #the Internet
+ACCEPT   dmz:192.0.2.177 net                tcp    domain  #TCPP DNS to
+                                                           #the Internet</programlisting>
 
       <para>Vous souhaitez probablement communiquer entre votre firewall et
       les systèmes DMZ depuis le réseau local -- Je recommande SSH qui, grâce
-      à son utilitaire scp&#x00A0; peut aussi faire de la diffusion et de la
-      mise à jour de logiciels.</para>
+      à son utilitaire scp peut aussi faire de la diffusion et de la mise à
+      jour de logiciels.</para>
 
-      <informaltable>
-        <tgroup cols="6">
-          <thead>
-            <row>
-              <entry>ACTION</entry>
-
-              <entry>SOURCE</entry>
-
-              <entry>DESTINATION</entry>
-
-              <entry>PROTOCOL</entry>
-
-              <entry>PORT(S)</entry>
-
-              <entry>COMMENTS</entry>
-            </row>
-          </thead>
-
-          <tbody>
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>loc</entry>
-
-              <entry>dmz</entry>
-
-              <entry>tcp</entry>
-
-              <entry>ssh</entry>
-
-              <entry># SSH vers la DMZ</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>loc</entry>
-
-              <entry>fw</entry>
-
-              <entry>tcp</entry>
-
-              <entry>ssh</entry>
-
-              <entry># SSH vers le firewall</entry>
-            </row>
-          </tbody>
-        </tgroup>
-      </informaltable>
+      <programlisting>#ACTION  SOURCE          DEST               PROTO  DEST    COMMENTS 
+#                                           PORT(S)
+ACCEPT   loc             dmz                tcp    ssh     #SSH to the DMZ
+ACCEPT   net             fw                 tcp    ssh     #SSH to the
+                                                           #Firewall</programlisting>
     </section>
 
-    <section>
-      <title>D&#39;autres petites choses</title>
+    <section id="OddsAndEnds">
+      <title>D'autres petites choses</title>
 
       <para>La discussion précédente reflète ma préférence personnelle pour
-      l&#39;utilisation de Proxy ARP associé à mes serveurs de la DMZ et
-      SNAT/NAT pour mes systèmes locaux. Je préfère utiliser NAT seulement
-      dans le cas ou un système qui fait partie d&#39;un sous-réseau RFC 1918
-      à besoin d&#39;avoir sa propre adresse IP.&#x00A0;</para>
+      l'utilisation de Proxy ARP associé à mes serveurs de la DMZ et SNAT/NAT
+      pour mes systèmes locaux. Je préfère utiliser NAT seulement dans le cas
+      ou un système qui fait partie d'un sous-réseau RFC 1918 à besoin d'avoir
+      sa propre adresse IP.</para>
 
-      <para><inlinegraphic fileref="images/BD21298_.gif" /> Si vous ne
-      l&#39;avez pas fait, ce peut-être une bonne idée de parcourir le fichier
-      <ulink url="Documentation.htm#Config">/etc/shorewall/shorewall.conf</ulink>
+      <para><inlinegraphic fileref="images/BD21298_.gif" /></para>
+
+      <para>Si vous ne l'avez pas fait, ce peut-être une bonne idée de
+      parcourir le fichier <ulink
+      url="Documentation.htm#Config"><filename>/etc/shorewall/shorewall.conf</filename></ulink>
       afin de voir si autre chose pourrait être intéressant. Vous pouvez aussi
-      regarder aux autres fichiers de configuration que vous n&#39;avez pas
-      touché pour un aperçu des autres possibilités de Shorewall.</para>
+      regarder aux autres fichiers de configuration que vous n'avez pas touché
+      pour un aperçu des autres possibilités de Shorewall.</para>
 
-      <para>Dans le cas ou vous n&#39;auriez pas validé les étapes, ci-dessous
-      se trouve un jeu final des fichiers de configuration pour notre réseau
-      exemple. Uniquement ceux qui auraient étés modifiés de la configuration
-      originale sont montrés. /etc/shorewall/interfaces (Les &#34;options&#34;
+      <para>Dans le cas ou vous n'auriez pas validé les étapes, ci-dessous se
+      trouve un jeu final des fichiers de configuration pour notre réseau
+      exemple. Uniquement ceux modifiés de la configuration originale sont
+      montrés.</para>
+
+      <para><filename>/etc/shorewall/interfaces</filename> (Les "options"
       seront spécifiques aux sites).</para>
 
-      <informaltable>
-        <tgroup cols="4">
-          <thead>
-            <row>
-              <entry>ZONE</entry>
-
-              <entry>INTERFACE</entry>
-
-              <entry>BROADCAST</entry>
-
-              <entry>OPTIONS</entry>
-            </row>
-          </thead>
-
-          <tbody>
-            <row>
-              <entry>net</entry>
-
-              <entry>eth0</entry>
-
-              <entry>detect</entry>
-
-              <entry>norfc1918,routefilter</entry>
-            </row>
-
-            <row>
-              <entry>loc</entry>
-
-              <entry>eth1</entry>
-
-              <entry>detect</entry>
-
-              <entry></entry>
-            </row>
-
-            <row>
-              <entry>dmz</entry>
-
-              <entry>eth2</entry>
-
-              <entry>detect</entry>
-
-              <entry></entry>
-            </row>
-          </tbody>
-        </tgroup>
-      </informaltable>
-
-      <para>La configuration décrit nécessite que votre réseau soit démarré
-      avant que Shorewall&#x00A0; puisse&#x00A0; se lancer. Cela ouvre un
-      lapse de temps durant lequel vous n&#39;avez pas de protection firewall.</para>
-
-      <para>Si vous remplacez &#39;detect&#39; par les valeurs des adresses
-      broadcoast dans les entrées suivantes, vous pouvez activer Shorewall
-      avant les interfaces réseau.</para>
-
-      <informaltable>
-        <tgroup cols="4">
-          <thead>
-            <row>
-              <entry>ZONE</entry>
-
-              <entry>INTERFACE</entry>
-
-              <entry>BROADCAST</entry>
-
-              <entry>OPTIONS</entry>
-            </row>
-          </thead>
-
-          <tbody>
-            <row>
-              <entry>net</entry>
-
-              <entry>eth0</entry>
-
-              <entry>192.0.2.255</entry>
-
-              <entry>norfc1918,routefilter</entry>
-            </row>
-
-            <row>
-              <entry>loc</entry>
-
-              <entry>eth1</entry>
-
-              <entry>192.168.201.7</entry>
-
-              <entry></entry>
-            </row>
-
-            <row>
-              <entry>dmz</entry>
-
-              <entry>eth2</entry>
-
-              <entry>192.168.202.7</entry>
-
-              <entry></entry>
-            </row>
-          </tbody>
-        </tgroup>
-      </informaltable>
-
-      <para>/etc/shorewall/masq - Sous-réseau Local</para>
-
-      <informaltable>
-        <tgroup cols="3">
-          <thead>
-            <row>
-              <entry>INTERFACE</entry>
-
-              <entry>SOUS-RESEAU</entry>
-
-              <entry>ADDRESSE</entry>
-            </row>
-          </thead>
-
-          <tbody>
-            <row>
-              <entry>eth0</entry>
-
-              <entry>192.168.201.0/29</entry>
-
-              <entry>192.0.2.176</entry>
-            </row>
-          </tbody>
-        </tgroup>
-      </informaltable>
-
-      <para>/etc/shorewall/proxyarp - DMZ</para>
-
-      <informaltable>
-        <tgroup cols="4">
-          <thead>
-            <row>
-              <entry>ADDRESS</entry>
-
-              <entry>EXTERNAL</entry>
-
-              <entry>INTERFACE</entry>
-
-              <entry>HAVE ROUTE</entry>
-            </row>
-          </thead>
-
-          <tbody>
-            <row>
-              <entry>192.0.2.177</entry>
-
-              <entry>eth2</entry>
-
-              <entry>eth0</entry>
-
-              <entry>No</entry>
-            </row>
-
-            <row>
-              <entry>192.0.2.178</entry>
-
-              <entry>eth2</entry>
-
-              <entry>eth0</entry>
-
-              <entry>No</entry>
-            </row>
-          </tbody>
-        </tgroup>
-      </informaltable>
-
-      <para>/etc/shorewall/nat- Le système de ma fille</para>
-
-      <informaltable>
-        <tgroup cols="5">
-          <thead>
-            <row>
-              <entry>EXTERNAL</entry>
-
-              <entry>INTERFACE</entry>
-
-              <entry>INTERNAL</entry>
-
-              <entry>ALL INTERFACES</entry>
-
-              <entry>LOCAL</entry>
-            </row>
-          </thead>
-
-          <tbody>
-            <row>
-              <entry>192.0.2.179</entry>
-
-              <entry>eth0</entry>
-
-              <entry>192.168.201.4</entry>
-
-              <entry>No</entry>
-
-              <entry>No</entry>
-            </row>
-          </tbody>
-        </tgroup>
-      </informaltable>
-
-      <para>/etc/shorewall/rules</para>
-
-      <informaltable>
-        <tgroup cols="6">
-          <thead>
-            <row>
-              <entry>ACTION</entry>
-
-              <entry>SOURCE</entry>
-
-              <entry>DESTINATION</entry>
-
-              <entry>PROTOCOL</entry>
-
-              <entry>PORT(S)</entry>
-
-              <entry>COMMENTS</entry>
-            </row>
-          </thead>
-
-          <tbody>
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>net</entry>
-
-              <entry>dmz:192.0.2.178</entry>
-
-              <entry>tcp</entry>
-
-              <entry>smtp</entry>
-
-              <entry># Mail depuis Internet</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>net</entry>
-
-              <entry>dmz:192.0.2.178</entry>
-
-              <entry>tcp</entry>
-
-              <entry>pop3</entry>
-
-              <entry># Pop3 depuis Internet</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>loc</entry>
-
-              <entry>dmz:192.0.2.178</entry>
-
-              <entry>tcp</entry>
-
-              <entry>smtp</entry>
-
-              <entry># Mail depuis le Réseau Local</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>loc</entry>
-
-              <entry>dmz:192.0.2.178</entry>
-
-              <entry>tcp</entry>
-
-              <entry>pop3</entry>
-
-              <entry># Pop3 depuis le Réseau Local</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>fw</entry>
-
-              <entry>dmz:192.0.2.178</entry>
-
-              <entry>tcp</entry>
-
-              <entry>smtp</entry>
-
-              <entry># Mail depuis le firewall</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>dmz:192.0.2.178</entry>
-
-              <entry>net</entry>
-
-              <entry>tcp</entry>
-
-              <entry>smtp</entry>
-
-              <entry># Mails vers Internet</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>net</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>tcp</entry>
-
-              <entry>http</entry>
-
-              <entry># WWW depuis le Net</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>net</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>tcp</entry>
-
-              <entry>https</entry>
-
-              <entry># HTTP sécurisé depuis le Net</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>loc</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>htp</entry>
-
-              <entry>https</entry>
-
-              <entry># HTTP sécurisé depuis le Réseau Local</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>net</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>udp</entry>
-
-              <entry>domain</entry>
-
-              <entry># UDP DNS depuis Internet</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>net</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>tcp</entry>
-
-              <entry>domain</entry>
-
-              <entry># TCP DNS depuis Internet</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>fw</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>udp</entry>
-
-              <entry>domain</entry>
-
-              <entry># UDP DNS depuis le firewall</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>fw</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>tcp</entry>
-
-              <entry>domain</entry>
-
-              <entry># TCP DNS depuis le firewall</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>loc</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>udp</entry>
-
-              <entry>domain</entry>
-
-              <entry># UDP DNS depuis le Réseau Local</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>loc</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>tcp</entry>
-
-              <entry>domain</entry>
-
-              <entry># TCP DNS depuis le Réseau Local</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>net</entry>
-
-              <entry>udp</entry>
-
-              <entry>domain</entry>
-
-              <entry># UDP DNS vers Internet</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>dmz:192.0.2.177</entry>
-
-              <entry>net</entry>
-
-              <entry>tcp</entry>
-
-              <entry>domain</entry>
-
-              <entry># TCP DNS vers Internet</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>net</entry>
-
-              <entry>dmz</entry>
-
-              <entry>icmp</entry>
-
-              <entry>echo-request</entry>
-
-              <entry>Ping</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>dmz</entry>
-
-              <entry>net</entry>
-
-              <entry>icmp</entry>
-
-              <entry>echo-request</entry>
-
-              <entry>&#34;</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>dmz</entry>
-
-              <entry>loc</entry>
-
-              <entry>icmp</entry>
-
-              <entry>echo-request</entry>
-
-              <entry>&#34;</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>loc</entry>
-
-              <entry>dmz</entry>
-
-              <entry>icmp</entry>
-
-              <entry>echo-request</entry>
-
-              <entry>&#34;</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>loc</entry>
-
-              <entry>dmz</entry>
-
-              <entry>tcp</entry>
-
-              <entry>ssh</entry>
-
-              <entry># SSH vers la DMZ</entry>
-            </row>
-
-            <row>
-              <entry>ACCEPT</entry>
-
-              <entry>loc</entry>
-
-              <entry>fw</entry>
-
-              <entry>tcp</entry>
-
-              <entry>ssh</entry>
-
-              <entry># SSH vers le firewall</entry>
-            </row>
-          </tbody>
-        </tgroup>
-      </informaltable>
+      <programlisting>#ZONE    INTERFACE      BROADCAST     OPTIONS
+net      eth0           detect        rfc1918,routefilter
+loc      eth1           detect
+dmz      eth2           detect</programlisting>
+
+      <para>La configuration décrite nécessite que votre réseau soit démarré
+      avant que Shorewall puisse se lancer. Cela ouvre un lapse de temps
+      durant lequel vous n'avez pas de protection firewall.</para>
+
+      <para>Si vous remplacez <quote>detect</quote> par les valeurs des
+      adresses broadcoast dans les entrées suivantes, vous pouvez activer
+      Shorewall avant les interfaces réseau.</para>
+
+      <programlisting>#ZONE    INTERFACE      BROADCAST     OPTIONS
+net      eth0           192.0.2.255   rfc1918
+loc      eth1           192.168.201.7
+dmz      eth2           192.168.202.7</programlisting>
+
+      <para><filename>/etc/shorewall/masq</filename> - Sous-réseau
+      Local</para>
+
+      <programlisting>#INTERFACE     SUBNET               ADDRESS
+eth0           192.168.201.0/29     192.0.2.176</programlisting>
+
+      <para><filename>/etc/shorewall/proxyarp</filename> - DMZ</para>
+
+      <programlisting>#ADDRESS     EXTERNAL     INTERFACE     HAVE ROUTE
+192.0.2.177  eth2         eth0          No
+192.0.2.178  eth2         eth0          No</programlisting>
+
+      <para><filename>/etc/shorewall/nat</filename>- Le système de ma
+      fille</para>
+
+      <programlisting>#EXTERNAL   INTERFACE   INTERNAL       ALL INTERFACES   LOCAL
+192.0.2.179 eth0        192.168.201.4  No               No</programlisting>
+
+      <para><filename>/etc/shorewall/rules</filename></para>
+
+      <programlisting>#ACTION  SOURCE          DEST               PROTO  DEST    COMMENTS 
+#                                                  PORT(S)
+ACCEPT   net             dmz                icmp   echo-request
+ACCEPT   net             loc                icmp   echo-request
+ACCEPT   dmz             loc                icmp   echo-request
+ACCEPT   loc             dmz                icmp   echo-request
+ACCEPT   net             loc:192.168.201.4  tcp    www     #Daughter's
+                                                           #Server
+ACCEPT   net             dmz:192.0.2.178    tcp    smtp    #Mail from
+                                                           #Internet
+ACCEPT   net             dmz:192.0.2.178    tcp    pop3    #Pop3 from
+                                                           #Internet
+ACCEPT   loc             dmz:192.0.2.178    tcp    smtp    #Mail from local
+                                                           #Network
+ACCEPT   loc             dmz:192.0.2.178    tcp    pop3    #Pop3 from local
+                                                           #Network
+ACCEPT   fw              dmz:192.0.2.178    tcp    smtp    #Mail from the
+                                                           #Firewall
+ACCEPT   dmz:192.0.2.178 net                tcp    smtp    #Mail to the
+                                                           #Internet
+ACCEPT   net             dmz:192.0.2.177    tcp    http    #WWW from
+                                                           #Internet
+ACCEPT   net             dmz:192.0.2.177    tcp    https   #Secure WWW
+                                                           #from Internet
+ACCEPT   loc             dmz:192.0.2.177    tcp    https   #Secure WWW
+                                                           #from local
+                                                           #Network
+ACCEPT   net             dmz:192.0.2.177    udp    domain  #UDP DNS from
+                                                           #Internet
+ACCEPT   net             dmz:192.0.2.177    tcp    domain  #TCP DNS from
+                                                           #Internet
+ACCEPT   loc             dmz:192.0.2.177    udp    domain  #UDP DNS from
+                                                           #Local Network
+ACCEPT   loc             dmz:192.0.2.177    tcp    domain  #TCP DNS from
+                                                           #Local Network
+ACCEPT   fw              dmz:192.0.2.177    udp    domain  #UDP DNS from
+                                                           #the Firewall
+ACCEPT   fw              dmz:192.0.2.177    tcp    domain  #TCP DNS from
+                                                           #the Firewall
+ACCEPT   dmz:192.0.2.177 net                udp    domain  #UDP DNS to
+                                                           #the Internet
+ACCEPT   dmz:192.0.2.177 net                tcp    domain  #TCPP DNS to
+                                                           #the Internet
+ACCEPT   loc             dmz                tcp    ssh     #SSH to the DMZ
+ACCEPT   net             fw                 tcp    ssh     #SSH to the
+                                                           #Firewall</programlisting>
     </section>
   </section>
 
-  <section>
+  <section id="DNS">
     <title>DNS</title>
 
-    <para>En donnant une collection d&#39;adresses RFC 1918 et publiques dans
-    la configuration, cela justifie d&#39;avoir des serveurs DNS interne et
-    externe. Vous pouvez combiner les deux dans un unique serveur BIND 9
-    utilisant les vues (Views). Si vous n&#39;êtes pas intéressé par les vues
-    BIND 9, vous pouvez allez à la section suivante.</para>
+    <para>En donnant une collection d'adresses RFC 1918 et publiques dans la
+    configuration, cela justifie d'avoir des serveurs DNS interne et externe.
+    Vous pouvez combiner les deux dans un unique serveur BIND 9 utilisant les
+    vues (Views). Si vous n'êtes pas intéressé par les vues BIND 9, vous
+    pouvez allez à la section suivante.</para>
 
-    <para>Supposons que votre domain est foobar.net et vous voulez que les
-    deux systèmes DMZ s&#39;appellent www.foobar.net et mail.foobar.net, les
-    trois systèmes locaux&#x00A0; &#34;winken.foobar.net, blinken.foobar.net
-    et nod.foobar.net. Vous voulez que le firewall soit connu à
-    l&#39;extérieur sous le nom firewall.foobar.net, son interface vers le
-    réseau local gateway.foobar.net et son interface vers la DMZ
-    dmz.foobar.net. Mettons le serveur DNS sur 192.0.2.177 qui sera aussi
-    connu sous le nom ns1.foobar.net.</para>
+    <para>Supposons que votre domaine est foobar.net et vous voulez que les
+    deux systèmes DMZ s'appellent www.foobar.net et mail.foobar.net, les trois
+    systèmes locaux "winken.foobar.net, blinken.foobar.net et nod.foobar.net.
+    Vous voulez que le firewall soit connu à l'extérieur sous le nom
+    firewall.foobar.net, son interface vers le réseau local gateway.foobar.net
+    et son interface vers la DMZ dmz.foobar.net. Mettons le serveur DNS sur
+    192.0.2.177 qui sera aussi connu sous le nom ns1.foobar.net.</para>
 
-    <para>Le fichier&#x00A0; /etc/named.conf devrait ressembler à cela:</para>
+    <para><filename>Le fichier /etc/named.conf </filename>devrait ressembler à
+    cela:</para>
 
-    <programlisting>options {
-       directory &#34;/var/named&#34;;
-       listen-on { 127.0.0.1 ; 192.0.2.177; };
+    <programlisting>
+
+options {
+        directory "/var/named";
+        listen-on { 127.0.0.1 ; 192.0.2.177; };
 };
 
 logging {
-      channel xfer-log {
-              file &#34;/var/log/named/bind-xfer.log&#34;;
-              print-category yes;
-              print-severity yes;
-              print-time yes;
-              severity info;
-       };
-  
-       category xfer-in { xfer-log; };
-       category xfer-out { xfer-log; };
-       category notify { xfer-log; };
+        channel xfer-log {
+                file "/var/log/named/bind-xfer.log";
+                print-category yes;
+                print-severity yes;
+                print-time yes;
+                severity info;
 };
+
+        category xfer-in { xfer-log; };
+        category xfer-out { xfer-log; };
+        category notify { xfer-log; };
+};
+
 #
-# Ceci est la vue présente sur vos systèmes internes.
+# This is the view presented to our internal systems
 #
-view &#34;internal&#34; {
-       #
-       # Les clients suivants peuvent voir le serveur
-       #
-       match-clients { 192.168.201.0/29;
-                       192.168.202.0/29;
-                       127.0.0.0/8;
-                       192.0.2.176/32; 
-                       192.0.2.178/32;
-                       192.0.2.179/32;
-                       192.0.2.180/32; };
-      #
-      # Si le serveur ne peut répondre à la requête, il utilisera des serveurs externes
-      # 
-      #
-      recursion yes;
 
-      zone &#34;.&#34; in {
-           type hint;
-            file &#34;int/root.cache&#34;;
-      };
+view "internal" {
+        #
+        # These are the clients that see this view
+        #
+        match-clients { 192.168.201.0/29;
+                        192.168.202.0/29;
+                        127.0.0.0/8;
+                        192.0.2.176/32; 
+                        192.0.2.178/32;
+                        192.0.2.179/32;
+                        192.0.2.180/32; };
+        #
+        # If this server can't complete the request, it should use
+        # outside servers to do so
+        #
+        recursion yes;
 
-      zone &#34;foobar.net&#34; in {
-            type master;
-            notify no;
-            allow-update { none; };
-            file &#34;int/db.foobar&#34;;
-      };
+        zone "." in {
+                type hint;
+                file "int/root.cache";
+        };
 
-      zone &#34;0.0.127.in-addr.arpa&#34; in {
-            type master;
-            notify no;
-            allow-update { none; };
-            file &#34;int/db.127.0.0&#34;;  
-      };
+        zone "foobar.net" in {
+                type master;
+                notify no;
+                allow-update { none; };
+                file "int/db.foobar";
+        };
 
-      zone &#34;201.168.192.in-addr.arpa&#34; in {
-            type master;
-            notify no;
-            allow-update { none; };
-            file &#34;int/db.192.168.201&#34;;
-      };
+        zone "0.0.127.in-addr.arpa" in {
+                type master;
+                notify no;
+                allow-update { none; };
+                file "int/db.127.0.0";
+        };
 
-      zone &#34;202.168.192.in-addr.arpa&#34; in {
-            type master;
-            notify no;
-            allow-update { none; };
-            file &#34;int/db.192.168.202&#34;;
-      };
+        zone "201.168.192.in-addr.arpa" in {
+                type master;
+                notify no;
+                allow-update { none; };
+                file "int/db.192.168.201";
+        };
 
-      zone &#34;176.2.0.192.in-addr.arpa&#34; in {
-            type master;
-            notify no;
-            allow-update { none; };
-            file &#34;db.192.0.2.176&#34;;
-      };
+        zone "202.168.192.in-addr.arpa" in {
+                type master;
+                notify no;
+                allow-update { none; };
+                file "int/db.192.168.202";
+        };
+
+        zone "176.2.0.192.in-addr.arpa" in {
+                type master;
+                notify no;
+                allow-update { none; };
+                file "db.192.0.2.176";
+        };
  
-      zone &#34;177.2.0.192.in-addr.arpa&#34; in {
-            type master;
-            notify no;
-            allow-update { none; };
-            file &#34;db.192.0.2.177&#34;;
-      };
+        zone "177.2.0.192.in-addr.arpa" in {
+                type master;
+                notify no;
+                allow-update { none; };
+                file "db.192.0.2.177";
+        };
 
-      zone &#34;178.2.0.192.in-addr.arpa&#34; in {
-            type master;
-            notify no;
-            allow-update { none; };
-            file &#34;db.192.0.2.178&#34;;
-      };
+        zone "178.2.0.192.in-addr.arpa" in {
+                type master;
+                notify no;
+                allow-update { none; };
+                file "db.192.0.2.178";
+        };
 
-      zone &#34;179.2.0.192.in-addr.arpa&#34; in {
-            type master;
-            notify no;
-            allow-update { none; };
-            file &#34;db.206.124.146.179&#34;;
-      };
+        zone "179.2.0.192.in-addr.arpa" in {
+                type master;
+                notify no;
+                allow-update { none; };
+                file "db.206.124.146.179";
+        };
 
 };
 #
-# Ceci est la vue qui sera présente pour le monde extérieur
+# This is the view that we present to the outside world
 #
-view &#34;external&#34; {
-      match-clients { any; };
-      #
-      # Si nous pouvons répondre à la requéte, nous le disons
-      #
-      recursion no;
+view "external" {
+         match-clients { any; };
+         #
+         # If we can't answer the query, we tell the client so
+         #
+         recursion no;
 
-      zone &#34;foobar.net&#34; in {
-          type master;
-            notify yes;
-            allow-update {none; };
-            allow-transfer { &#60;secondary NS IP&#62;; };
-            file &#34;ext/db.foobar&#34;;
-      };
+         zone "foobar.net" in {
+                 type master;
+                 notify yes;
+                 allow-update {none; };
+                 allow-transfer { &lt;secondary NS IP&gt;; };
+                 file "ext/db.foobar";
+         };
 
-      zone &#34;176.2.0.192.in-addr.arpa&#34; in {
-            type master;
-            notify yes;
-            allow-update { none; };
-            allow-transfer { &#60;secondary NS IP&#62;; };
-            file &#34;db.192.0.2.176&#34;;
-      };
+         zone "176.2.0.192.in-addr.arpa" in {
+                 type master;
+                 notify yes;
+                 allow-update { none; };
+                 allow-transfer { &lt;secondary NS IP&gt;; };
+                 file "db.192.0.2.176";
+         };
 
-      zone &#34;177.2.0.192.in-addr.arpa&#34; in {
-            type master;
-            notify yes;
-            allow-update { none; };
-            allow-transfer { &#60;secondary NS IP&#62;; };
-            file &#34;db.192.0.2.177&#34;;
-      };
+         zone "177.2.0.192.in-addr.arpa" in {
+                 type master;
+                 notify yes;
+                 allow-update { none; };
+                 allow-transfer { &lt;secondary NS IP&gt;; };
+                 file "db.192.0.2.177";
+         };
 
-      zone &#34;178.2.0.192.in-addr.arpa&#34; in {
-            type master;
-            notify yes;
-            allow-update { none; };
-            allow-transfer { &#60;secondary NS IP&#62;; };
-            file &#34;db.192.0.2.178&#34;;
-      };
+         zone "178.2.0.192.in-addr.arpa" in {
+                 type master;
+                 notify yes;
+                 allow-update { none; };
+                 allow-transfer { &lt;secondary NS IP&gt;; };
+                 file "db.192.0.2.178";
+         };
 
-      zone &#34;179.2.0.192.in-addr.arpa&#34; in {
-            type master;
-            notify yes;
-            allow-update { none; };
-            allow-transfer { &#60;secondary NS IP&#62;; };
-            file &#34;db.192.0.2.179&#34;;
-      };
+         zone "179.2.0.192.in-addr.arpa" in {
+                 type master;
+                 notify yes;
+                 allow-update { none; };
+                 allow-transfer { &lt;secondary NS IP&gt;; };
+                 file "db.192.0.2.179";
+         };
 };</programlisting>
 
-    <para>Voici les fichiers de /var/named (ceux qui ne sont pas présents font
-    partis de votre distribution BIND).</para>
+    <para>Voici les fichiers de <filename
+    class="directory">/var/named</filename> (ceux qui ne sont pas présents
+    font partis de votre distribution BIND).</para>
 
-    <para>db.192.0.2.176 - Zone inverse de l&#39;interface externe du firewall</para>
+    <para><filename>db.192.0.2.176</filename> - Zone inverse de l'interface
+    externe du firewall</para>
 
     <programlisting>; ############################################################
 ; Start of Authority (Inverse Address Arpa) for 192.0.2.176/32
@@ -3079,14 +2089,15 @@ view &#34;external&#34; {
 ; Specify Name Servers for all Reverse Lookups (IN-ADDR.ARPA)
 ; ############################################################
 @        604800  IN NS   ns1.foobar.net.
-@        604800  IN NS   &#60;name of secondary ns&#62;.
+@        604800  IN NS   &lt;name of secondary ns&gt;.
 ;
 ; ############################################################
-; Iverse Address Arpa Records (PTR&#39;s) 
+; Iverse Address Arpa Records (PTR's) 
 ; ############################################################
 176.2.0.192.in-addr.arpa. 86400 IN PTR firewall.foobar.net.</programlisting>
 
-    <para>db.192.0.2.177 - Zone inverse pour le serveur www/DNS server</para>
+    <para><filename>db.192.0.2.177</filename> - Zone inverse pour le serveur
+    www/DNS server</para>
 
     <programlisting>; ############################################################
 ; Start of Authority (Inverse Address Arpa) for 192.0.2.177/32
@@ -3103,14 +2114,15 @@ view &#34;external&#34; {
 ; Specify Name Servers for all Reverse Lookups (IN-ADDR.ARPA)
 ; ############################################################
 @        604800  IN NS   ns1.foobar.net.
-@        604800  IN NS   &#60;name of secondary ns&#62;.
+@        604800  IN NS   &lt;name of secondary ns&gt;.
 ;
 ; ############################################################
-; Iverse Address Arpa Records (PTR&#39;s) 
+; Iverse Address Arpa Records (PTR's) 
 ; ############################################################
 177.2.0.192.in-addr.arpa. 86400 IN PTR www.foobar.net.</programlisting>
 
-    <para>db.192.0.2.178 - Zone inverse du serveur mail</para>
+    <para><filename>db.192.0.2.178</filename> - Zone inverse du serveur
+    mail</para>
 
     <programlisting>; ############################################################
 ; Start of Authority (Inverse Address Arpa) for 192.0.2.178/32
@@ -3127,14 +2139,15 @@ view &#34;external&#34; {
 ; Specify Name Servers for all Reverse Lookups (IN-ADDR.ARPA)
 ; ############################################################
 @        604800  IN NS   ns1.foobar.net.
-@        604800  IN NS   &#60;name of secondary ns&#62;.
+@        604800  IN NS   &lt;name of secondary ns&gt;.
 ;
 ; ############################################################
-; Iverse Address Arpa Records (PTR&#39;s) 
+; Iverse Address Arpa Records (PTR's) 
 ; ############################################################
-178.2.0.192.in-addr.arpa. 86400 IN PTR mail.foobar.net.<optional></optional></programlisting>
+178.2.0.192.in-addr.arpa. 86400 IN PTR mail.foobar.net.</programlisting>
 
-    <para>db.192.0.2.179 - Zone inverse du serveur web publique de votre fille</para>
+    <para><filename>db.192.0.2.179</filename> - Zone inverse du serveur web
+    publique de votre fille</para>
 
     <programlisting>; ############################################################
 ; Start of Authority (Inverse Address Arpa) for 192.0.2.179/32
@@ -3151,14 +2164,15 @@ view &#34;external&#34; {
 ; Specify Name Servers for all Reverse Lookups (IN-ADDR.ARPA)
 ; ############################################################
 @        604800  IN NS   ns1.foobar.net.
-@        604800  IN NS   &#60;name of secondary ns&#62;.
+@        604800  IN NS   &lt;name of secondary ns&gt;.
 ;
 ; ############################################################
-; Iverse Address Arpa Records (PTR&#39;s) 
+; Iverse Address Arpa Records (PTR's) 
 ; ############################################################
 179.2.0.192.in-addr.arpa. 86400 IN PTR nod.foobar.net.</programlisting>
 
-    <para>int/db.127.0.0 - Zone inverse pour localhost</para>
+    <para><filename>int/db.127.0.0</filename> - Zone inverse pour
+    localhost</para>
 
     <programlisting>; ############################################################
 ; Start of Authority (Inverse Address Arpa) for 127.0.0.0/8
@@ -3176,12 +2190,12 @@ view &#34;external&#34; {
 @     604800          IN NS   ns1.foobar.net.
 
 ; ############################################################
-; Iverse Address Arpa Records (PTR&#39;s)
+; Iverse Address Arpa Records (PTR's)
 ; ############################################################
 1       86400           IN PTR  localhost.foobar.net.</programlisting>
 
-    <para>int/db.192.168.201 - Zone inverse pour le réseau local. cela
-    n&#39;est montré qu&#39;aux clients internes</para>
+    <para><filename>int/db.192.168.201</filename> - Zone inverse pour le
+    réseau local. cela n'est montré qu'aux clients internes</para>
 
     <programlisting>; ############################################################
 ; Start of Authority (Inverse Address Arpa) for 192.168.201.0/29
@@ -3199,14 +2213,15 @@ view &#34;external&#34; {
 ; ############################################################
 @       604800          IN NS   ns1.foobar.net.
 ; ############################################################
-; Iverse Address Arpa Records (PTR&#39;s)
+; Iverse Address Arpa Records (PTR's)
 ; ############################################################
 1       86400           IN PTR  gateway.foobar.net.
 2       86400           IN PTR  winken.foobar.net.
 3       86400           IN PTR  blinken.foobar.net.
 4       86400           IN PTR  nod.foobar.net.</programlisting>
 
-    <para>int/db.192.168.202 - Zone inverse de l&#39;interface DMZ du firewall</para>
+    <para><filename>int/db.192.168.202</filename> - Zone inverse de
+    l'interface DMZ du firewall</para>
 
     <programlisting>; ############################################################
 ; Start of Authority (Inverse Address Arpa) for 192.168.202.0/29
@@ -3225,12 +2240,12 @@ view &#34;external&#34; {
 @             604800  IN NS   ns1.foobar.net.
 
 ; ############################################################
-; Iverse Address Arpa Records (PTR&#39;s)
+; Iverse Address Arpa Records (PTR's)
 ; ############################################################
 1               86400 IN PTR  dmz.foobar.net.</programlisting>
 
-    <para>int/db.foobar - Forward zone pour l&#39;utilisation des clients
-    internes.</para>
+    <para><filename>int/db.foobar </filename>- Forward zone pour l'utilisation
+    des clients internes.</para>
 
     <programlisting>;##############################################################
 ; Start of Authority for foobar.net.
@@ -3262,7 +2277,8 @@ winken               86400   IN A    192.168.201.2
 blinken              86400   IN A    192.168.201.3
 nod                  86400   IN A    192.168.201.4</programlisting>
 
-    <para>ext/db.foobar - Forward zone pour les clients externes</para>
+    <para><filename>ext/db.foobar </filename>- Forward zone pour les clients
+    externes</para>
 
     <programlisting>;##############################################################
 ; Start of Authority for foobar.net.
@@ -3278,7 +2294,7 @@ nod                  86400   IN A    192.168.201.4</programlisting>
 ; Foobar.net Nameserver Records (NS)
 ;############################################################
 @                86400   IN NS   ns1.foobar.net.
-@                86400   IN NS   &#60;secondary NS&#62;.
+@                86400   IN NS   &lt;secondary NS&gt;.
 ;############################################################
 ; Foobar.net        Foobar Wa Office Records (ADDRESS)
 ;############################################################
@@ -3307,36 +2323,118 @@ nod             86400   IN A    192.0.2.179
 ;############################################################
 foobar.net.      86400   IN A    192.0.2.177
                  86400   IN MX 0 mail.foobar.net.
-                 86400   IN MX 1 &#60;backup MX&#62;.</programlisting>
+                 86400   IN MX 1 &lt;backup MX&gt;.</programlisting>
   </section>
 
   <section>
-    <title>Démarrer et Stopper le firewall</title>
+    <title>Quelques Points à Garder en Mémoire</title>
 
-    <para>La <ulink url="Install.htm">procédure d&#39;installation</ulink>
-    configure votre système pour que Shorewall démarre au boot du système.</para>
+    <itemizedlist>
+      <listitem>
+        <para><emphasis role="bold">Vous ne pouvez tester votre firewall de
+        l'intérieur de votre réseau</emphasis>. Car les requêtes que vous
+        envoyez à votre adresse IP ne veux pas dire qu'elles seront associées
+        à votre interface externe ou la zone <quote>net</quote>. Tout trafic
+        généré par le réseau local sera traité par loc-&gt;fw.</para>
+      </listitem>
 
-    <para>Le firewall est démarré en utilisant la commande &#34;shorewall
-    start&#34; et arrêté avec &#34;shorewall stop&#34;. Quand le firewall est
-    arrêté, le routage est actif sur les hôtes qui ont une entrée dans le
-    fichier <ulink url="Documentation.htm#Routestopped">/etc/shorewall/routestopped</ulink>.
-    Le firewall actif peut-être relancé grâce à la commande &#34;shorewall
-    restart&#34;. Si vous voulez retirer toute trace de Shorewall de votre
-    configuration Netfilter, utilisez &#34;shorewall clear&#34;.</para>
+      <listitem>
+        <para><emphasis role="bold">Les adresses IP sont des propriétés des
+        systèmes, pas des interfaces</emphasis>. C'est une erreur de croire
+        que votre firewall est capable de renvoyer des paquets simplement
+        parce que vous pouvez faire un ping sur l'adresse IP de toutes les
+        interfaces du firewall depuis le réseau local. La seul conclusion est
+        de conclure que le lien entre le réseau local et le firewall est
+        établi et que vous avez probablement la bonne adresse de la passerelle
+        sur votre système.</para>
+      </listitem>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> Editez le fichier
-    <ulink url="Documentation.htm#Routestopped">/etc/shorewall/routestopped</ulink>
-    file et ajouter les systèmes qui doivent pouvoir se connecter au firewall
-    quant il est arrêté.</para>
+      <listitem>
+        <para><emphasis role="bold">Toutes les adresses IP configurées sur le
+        firewall sont dans la zone $FW (fw)</emphasis>. Si 192.168.1.254 est
+        l'adresse IP de votre interface interne, alors vous pouvez écrire
+        <quote><emphasis role="bold">$FW:192.168.1.254</emphasis></quote> dans
+        une régle mais vous ne devez pas écrire <quote><emphasis
+        role="bold">loc:192.168.1.254</emphasis></quote>. C'est aussi un
+        non-sens d'ajouter 192.168.1.254 à la zone <emphasis
+        role="bold">loc</emphasis> en utilisant une entrée dans
+        <filename>/etc/shorewall/hosts</filename>.</para>
+      </listitem>
 
-    <para>ATTENTION: Si vous êtes connecté à votre firewall depuis Internet,
-    ne pas exécutez la commande&#x00A0; &#34;shorewall stop&#34; tant que vous
-    n&#39;avez pas une entrée active pour l&#39;adresse IP de votre hôte dans
-    le fichier <ulink url="Documentation.htm#Routestopped">/etc/shorewall/routestopped</ulink>.
-    Egalement, je ne recommande pas d&#39;utiliser &#34;shorewall
-    restart&#34;; il est préférable d&#39;utiliser <ulink
-    url="starting_and_stopping_shorewall.htm"><emphasis>une configuration
-    alternative</emphasis></ulink>&#x00A0; et la tester avec la commande &#34;<ulink
-    url="starting_and_stopping_shorewall.htm">shorewall try</ulink>&#34;.</para>
+      <listitem>
+        <para><emphasis role="bold">Les paquets de retour (Reply) ne suivent
+        PAS automatiquement le chemin inverse de la requête
+        d'origine</emphasis>. Tous les paquets sont routés en se référant à la
+        table de routage respective de chaque hôte à chaque étape du trajet.
+        C'est commun chez ceux qui installent le firewall Shorewall en
+        parallèle à une passerelle existante et essayent d'utiliser DNAT dans
+        Shorewall sans changer la passerelle par défaut sur les systèmes
+        recevant le retour des requêtes. Les requêtes dont, à travers le
+        firewall Shorewall, l'adresse de destination IP est réécrite mais la
+        réponse va directement vers l'ancienne passerelle.</para>
+      </listitem>
+
+      <listitem>
+        <para><emphasis role="bold">Shorewall lui-même n'a aucune notion du
+        dedans et du dehors</emphasis>. Ces concepts dépendent de la façon
+        dont Shorewall est configuré.</para>
+      </listitem>
+    </itemizedlist>
+  </section>
+
+  <section>
+    <title>Démarrer et Arrêter Votre Firewall</title>
+
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
+
+    <para>La <ulink url="Install.htm">procédure d'installation</ulink>
+    configure votre système pour lancer Shorewall au boot du système, mais au
+    début avec la version 1.3.9 de Shorewall le lancement est désactivé,
+    n'essayer pas de lancer Shorewall avec que la configuration soit finie.
+    Une fois que vous en aurez fini avec la configuration du firewall, vous
+    pouvez permettre le lancement de Shorewall en supprimant le fichier
+    <filename
+    class="directory">/etc/shorewall/</filename><filename>startup_disabled</filename>.
+    <important>
+        <para>Les utilisateurs des paquets .deb doivent éditer <filename
+        class="directory">/etc/default/</filename><filename>shorewall</filename>
+        and set <varname>startup=1</varname>.</para>
+      </important>Le firewall est activé en utilisant la commande
+    <quote><command>shorewall start</command></quote> et arrêté avec
+    <quote><command>shorewall stop</command></quote>. Lorsque le firewall est
+    stoppé, le routage est autorisé sur les hôtes qui possèdent une entrée
+    dans <filename
+    class="directory">/etc/shorewall/</filename><filename><ulink
+    url="Documentation.htm#Routestopped">routestopped</ulink></filename>. Un
+    firewall qui tourne peut être relancé en utilisant la commande
+    <quote><command>shorewall restart</command></quote> command. Si vous
+    voulez enlever toutes traces de Shorewall sur votre configuration de
+    Netfilter, utilisez <quote><command>shorewall
+    clear</command></quote>.</para>
+
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
+
+    <para>Les exemples supposent que vous voulez permettre le routage depuis
+    ou vers <filename class="devicefile">eth1</filename> (le réseau local) et
+    <filename class="devicefile">eth2</filename> (DMZ) lorsque Shorewall est
+    stoppé. Si ces deux interfaces ne sont pas connectées à votre réseau local
+    et votre DMZ, ou si vous voulez permettre un ensemble d'hôtes différents,
+    modifiez <filename
+    class="directory">/etc/shorewall/</filename><filename><ulink
+    url="Documentation.htm#Routestopped">routestopped</ulink></filename> en
+    conséquence. <warning>
+        <para>Si vous êtes connecté à votre firewall depuis Internet,
+        n'essayez pas une commande <quote><command>shorewall
+        stop</command></quote> tant que vous n'avez pas ajouté une entrée pour
+        votre adresse <acronym>IP</acronym> (celle à partir de laquelle vous
+        êtes connectée) dans <filename
+        class="directory">/etc/shorewall/</filename><filename>routestopped</filename>.
+        De la même manière, je ne vous recommande pas d'utiliser
+        <quote><command>shorewall restart</command></quote>; il est plus
+        intéressant de créer <ulink
+        url="configuration_file_basics.htm#Configs">une configuration
+        alternative</ulink> et de la tester en utilisant la commande
+        <quote><command>shorewall try</command></quote>.</para>
+      </warning></para>
   </section>
 </article>
\ No newline at end of file
diff --git a/Shorewall-docs2/standalone.xml b/Shorewall-docs2/standalone.xml
index 4ed9d90fa..93f7968c0 100644
--- a/Shorewall-docs2/standalone.xml
+++ b/Shorewall-docs2/standalone.xml
@@ -15,7 +15,7 @@
       </author>
     </authorgroup>
 
-    <pubdate>2004-02-16</pubdate>
+    <pubdate>2004-04-22</pubdate>
 
     <copyright>
       <year>2002-2004</year>
@@ -187,10 +187,11 @@
     first checked against the <filename><filename>/etc/shorewall/rules</filename></filename>
     file. If no rule in that file matches the connection request then the
     first policy in <filename>/etc/shorewall/policy</filename> that matches
-    the request is applied. If that policy is REJECT or DROP the request is
-    first checked against the rules in /etc/shorewall/common if that file
-    exists; otherwise the rules in <filename>/etc/shorewall/common.def</filename>
-    are checked.</para>
+    the request is applied. If there is a <ulink
+    url="shorewall_extension_scripts.htm">comon action</ulink> defined for the
+    policy in <filename>/etc/shorewall/actions</filename> or
+    <filename>/usr/share/shorewall/actions.std</filename> then that action is
+    peformed before the action is applied.</para>
 
     <para>The <filename>/etc/shorewall/policy</filename> file included with
     the one-interface sample has the following policies:</para>
diff --git a/Shorewall-docs2/standalone_fr.xml b/Shorewall-docs2/standalone_fr.xml
index 7e5b31bc7..fc0b14845 100644
--- a/Shorewall-docs2/standalone_fr.xml
+++ b/Shorewall-docs2/standalone_fr.xml
@@ -1,7 +1,9 @@
 <?xml version="1.0" encoding="UTF-8"?>
 <!DOCTYPE article PUBLIC "-//OASIS//DTD DocBook XML V4.2//EN"
 "http://www.oasis-open.org/docbook/xml/4.2/docbookx.dtd">
-<article id="IPIP">
+<article id="standalone">
+  <!--$Id$-->
+
   <articleinfo>
     <title>Standalone Firewall</title>
 
@@ -11,47 +13,57 @@
 
         <surname>Eastep</surname>
       </author>
+
+      <author>
+        <firstname>Patrice</firstname>
+
+        <surname>Vetsel</surname>
+      </author>
+
+      <author>
+        <firstname>Fabien</firstname>
+
+        <surname>Demassieux</surname>
+      </author>
     </authorgroup>
 
-    <pubdate>2003-12-30</pubdate>
+    <pubdate>2004-02-16</pubdate>
 
     <copyright>
-      <year>2001-2003</year>
+      <year>2002-2004</year>
 
       <holder>Thomas M. Eastep</holder>
     </copyright>
 
     <legalnotice>
       <para>Permission is granted to copy, distribute and/or modify this
-      dcument under the terms of the GNU Free Documentation License, Version
+      document under the terms of the GNU Free Documentation License, Version
       1.2 or any later version published by the Free Software Foundation; with
       no Invariant Sections, with no Front-Cover, and with no Back-Cover
-      Texts. A copy of the license is included in the section entitled &#34;<ulink
-      url="GnuCopyright.htm">GNU Free Documentation License</ulink>&#34;.</para>
+      Texts. A copy of the license is included in the section entitled
+      <quote><ulink url="GnuCopyright.htm">GNU Free Documentation
+      License</ulink></quote>.</para>
     </legalnotice>
   </articleinfo>
 
   <note>
-    <para><emphasis role="underline">Notes du traducteur :</emphasis> Je ne
-    prétends pas être un vrai traducteur dans le sens ou mon travail n&#39;est
-    pas des plus précis (loin de là...). Je ne me suis pas attaché à une
-    traduction exacte du texte, mais plutôt à en faire une version française
-    intelligible par tous (et par moi). Les termes techniques sont la plupart
-    du temps conservés sous leur forme originale et mis entre parenthèses car
-    vous pouvez les retrouver dans le reste des documentations ainsi que dans
-    les fichiers de configuration. N&#39;hésitez pas à me contacter afin
-    d&#39;améliorer ce document <ulink url="mailto:vetsel.patrice@wanadoo.fr">VETSEL
-    Patrice</ulink> (merci à JMM pour sa relecture et ses commentaires
-    pertinents, ainsi qu&#39;à Tom EASTEP pour son formidable outil et sa
-    disponibilité).</para>
+    <para><emphasis role="underline">Notes du traducteur :</emphasis> Le guide
+    initial a été traduit par <ulink
+    url="mailto:vetsel.patrice@wanadoo.fr">VETSEL Patrice</ulink> que je
+    remercie. J'en ai assuré la révision pour l'adapter à la version 2 de
+    Shorewall. J'espère vous faciliter l'accès et la prise en main d'un
+    firewall performant, efficace, adaptable et facile d'utilisation. Donc
+    félicitations pour la qualité du travail et la disponibilité offerte par
+    Thomas M. Eastep. Si vous trouvez des erreurs ou des améliorations à
+    apporter vous pouvez me contacter <ulink
+    url="mailto:fd03x@wanadoo.fr">Fabien Demassieux</ulink></para>
   </note>
 
-  <section id="Documentation">
+  <section>
     <title>Introduction</title>
 
-    <para>Mettre en place un système Linux en tant que firewall (écluse) pour
-    un petit réseau est une chose assez simple, si vous comprenez les bases et
-    suivez la documentation.</para>
+    <para>Configurer Shorewall sur un système isolé Linux est très simple si
+    vous comprenez les bases et suivez la documentation.</para>
 
     <para>Ce guide ne veut pas vous apprendre tous les rouages de Shorewall.
     Il se focalise sur ce qui est nécessaire pour configurer Shorewall, dans
@@ -72,391 +84,507 @@
       </listitem>
     </itemizedlist>
 
-    <para>Ce guide suppose que vous avez le paquet iproute/iproute2
-    d&#39;installé. Vous pouvez voir si le paquet est installé en vérifiant la
-    présence du programme ip sur votre système de firewall. Sous root,
-    utilisez la commande &#39;which&#39; pour rechercher le programme :</para>
+    <section>
+      <title>Pré-requis</title>
 
-    <programlisting>     [root@gateway root]# which ip
-     /sbin/ip
-     [root@gateway root]#
-</programlisting>
+      <para>Shorewall a besoin que le package
+      <command>iproute</command>/<command>iproute2</command> soit installé
+      (avec la distribution <trademark>RedHat</trademark>, le package
+      s'appelle <command>iproute</command>). Vous pouvez vérifier si le
+      package est installé par la présence du programme <command>ip</command>
+      sur votre firewall. En tant que <systemitem
+      class="username">root</systemitem>, vous pouvez utiliser la commande
+      <command>which</command> pour cela:</para>
 
-    <para>Je vous recommande dans un premier temps de parcourir tout le guide
-    pour vous familiariser avec ce qu&#39;il va se passer, et de revenir au
-    début en effectuant le changements dans votre configuration. Les points,
-    où les changements dans la configuration sont recommandées, sont signalés
-    par une <inlinegraphic fileref="images/BD21298_.gif" /></para>
+      <programlisting>[root@gateway root]# <command>which ip</command>
+/sbin/ip
+[root@gateway root]#</programlisting>
+    </section>
 
-    <caution>
-      <para>Si vous éditez vos fichiers de configuration sur un système
-      Windows, vous devez les sauver comme des fichiers Unix si votre éditeur
-      supporte cette option sinon vous devez les faire passer par dos2unix
-      avant d&#39;essayer de les utiliser. De la même manière, si vous copiez
-      un fichier de configuration depuis votre disque dur Windows vers une
-      disquette, vous devez lancer dos2unix sur la copie avant de
-      l&#39;utiliser avec Shorewall.</para>
+    <section>
+      <title>Avant de commencer</title>
 
-      <itemizedlist>
-        <listitem>
-          <para><ulink url="http://www.simtel.net/pub/pd/51438.html">Windows
-          Version of dos2unix</ulink></para>
-        </listitem>
+      <para>Je recommande en premier la lecture complète du guide afin de se
+      familiariser avec les tenants et aboutissants puis de revenir sur les
+      modifications de votre configuration adapté à votre système.</para>
 
-        <listitem>
-          <para><ulink url="http://www.megaloman.com/%7Ehany/software/hd2u/">Linux
-          Version of dos2unix</ulink></para>
-        </listitem>
-      </itemizedlist>
-    </caution>
+      <caution>
+        <para>Si vous éditez vos fichiers de configuration sur un système
+        <trademark>Windows</trademark>, vous devez les sauver comme des
+        fichiers <trademark>Unix</trademark> si votre éditeur supporte cette
+        option sinon vous devez les convertir avec <command>dos2unix</command>
+        avant d'essayer de les utiliser. De la même manière, si vous copiez un
+        fichier de configuration depuis votre disque dur
+        <trademark>Windows</trademark> vers une disquette, vous devez lancer
+        <command>dos2unix</command> sur la copie avant de l'utiliser avec
+        Shorewall.</para>
+
+        <itemizedlist>
+          <listitem>
+            <para><ulink
+            url="http://www.simtel.net/pub/pd/51438.html"><trademark>Windows</trademark>
+            Version of <command>dos2unix</command></ulink></para>
+          </listitem>
+
+          <listitem>
+            <para><ulink
+            url="http://www.megaloman.com/%7Ehany/software/hd2u/">Linux
+            Version of <command>dos2unix</command></ulink></para>
+          </listitem>
+        </itemizedlist>
+      </caution>
+    </section>
+
+    <section>
+      <title>Conventions</title>
+
+      <para>Les points ou les modifications s'imposent sont indiqués par
+      <inlinegraphic fileref="images/BD21298_.gif" format="GIF" />.</para>
+    </section>
+  </section>
+
+  <section>
+    <title>PPTP/ADSL</title>
+
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
+
+    <para>Si vous êtes équipé d'un modem <acronym>ADSL</acronym> et utilisez
+    <acronym>PPTP</acronym> pour communiquer avec un serveur à travers ce
+    modem, vous devez faire le changement <ulink
+    url="PPTP.htm#PPTP_ADSL">suivant</ulink> en plus de ceux ci-dessous.
+    <acronym>ADSL</acronym> avec <acronym>PPTP</acronym> est commun en Europe,
+    ainsi qu'en Australie.</para>
   </section>
 
   <section>
     <title>Les Concepts de Shorewall</title>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> Les fichiers de
-    configuration pour Shorewall sont situés dans le répertoire /etc/shorewall
-    -- pour de simples paramétrages, vous n&#39;avez à faire qu&#39;avec
-    quelques un d&#39;entre eux comme décris dans ce guide. Après avoir <ulink
-    url="Install.htm">installé Shorewall</ulink>, <emphasis role="bold">téléchargez
-    <ulink url="http://www1.shorewall.net/pub/shorewall/Samples/">le
-    one-interface sample</ulink>, un-tarez le (tar -zxvf one-interface.tgz) et
-    copiez les fichiers vers /etc/shorewall (Ils remplaceront les fichiers de
-    même nom déjà existant dans /etc/shorewall installés lors de
-    l&#39;installation de Shorewall)</emphasis>.</para>
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
 
-    <para>Parallèlement à la description, je vous suggère de jeter un oeil à
-    ceux physiquement présents sur votre système -- chacun des fichiers
+    <para>Les fichiers de configuration pour Shorewall sont situés dans le
+    répertoire /etc/shorewall -- pour de simples paramétrages, vous n'avez à
+    faire qu'avec quelques un d'entre eux comme décris dans ce guide.<tip>
+        <para>Après avoir <ulink url="Install.htm">installé Shorewall</ulink>,
+        téléchargez <ulink
+        url="http://www1.shorewall.net/pub/shorewall/Samples/">l'exemple
+        one-interface</ulink>, décompressez le (<command>tar
+        <option>-zxvf</option>
+        <filename>one-interface.tgz</filename></command>) et copiez les
+        fichiers dans <filename class="directory">/etc/shorewall</filename>
+        <emphasis role="bold">(ces fichiers remplaceront les
+        initiaux)</emphasis>.</para>
+      </tip>Parallèlement à la présentation, je vous suggère de jeter un oeil
+    à ceux physiquement présents sur votre système -- chacun des fichiers
     contient des instructions de configuration détaillées et des entrées par
     défaut.</para>
 
-    <para>Shorewall voit le réseau où il tourne comme composé par un ensemble
-    de zones. Dans les fichiers de configuration fournis pour une unique
+    <para>Shorewall voit le réseau où il fonctionne, comme un ensemble de
+    zones.Dans les fichiers de configuration fournis pour une unique
     interface, une seule zone est définie :</para>
 
-    <table>
-      <title>Zones</title>
-
+    <informaltable>
       <tgroup cols="2">
-        <tbody>
+        <thead>
           <row>
-            <entry align="left"><emphasis role="bold">Zone</emphasis></entry>
+            <entry align="center">Name</entry>
 
-            <entry align="left" role="underline"><emphasis role="bold">Description</emphasis></entry>
+            <entry align="center">Description</entry>
           </row>
+        </thead>
 
+        <tbody>
           <row>
             <entry>net</entry>
 
-            <entry>Internet</entry>
+            <entry>The Internet</entry>
           </row>
         </tbody>
       </tgroup>
-    </table>
+    </informaltable>
 
-    <para>Les zones de Shorewall sont définies dans /etc/shorewall/zones.</para>
+    <para>Les zones de Shorewall sont définies dans <ulink
+    url="Documentation.htm#Zones"><filename>/etc/shorewall/zones</filename></ulink>.</para>
 
     <para>Shorewall reconnaît aussi le système de firewall comme sa propre
-    zone - par défaut, le firewall lui-même est connu en tant que fw.</para>
+    zone - par défaut, le firewall est connu comme <emphasis
+    role="bold"><varname>fw</varname></emphasis>.</para>
 
     <para>Les règles concernant le trafic à autoriser ou à interdire sont
     exprimées en utilisant les termes de zones.</para>
 
-    <table>
-      <title>/etc/shorewall/policy</title>
+    <itemizedlist>
+      <listitem>
+        <para>Vous exprimez votre politique par défaut pour les connexions
+        d'une zone vers une autre zone dans le fichier <ulink
+        url="Documentation.htm#Policy"><filename
+        class="directory">/etc/shorewall/</filename><filename>policy</filename></ulink>.</para>
+      </listitem>
 
-      <tgroup cols="5">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">SOURCE ZONE</emphasis></entry>
+      <listitem>
+        <para>Vous définissez les exceptions à ces politiques pas défaut dans
+        le fichier <ulink url="Documentation.htm#Rules"><filename
+        class="directory">/etc/shorewall/</filename><filename>rules</filename></ulink>.</para>
+      </listitem>
+    </itemizedlist>
 
-            <entry><emphasis role="bold">DESTINATION ZONE</emphasis></entry>
+    <para>Pour chaque connexion demandant à entrer dans le firewall, la
+    requête est en premier lieu comparée par rapport au fichier <filename
+    class="directory">/etc/shorewall/</filename><filename>rules</filename>. Si
+    aucune règle dans ce fichier ne correspond à la demande de connexion alors
+    la première politique dans le fichier <filename
+    class="directory">/etc/shorewall/</filename><filename>policy</filename>
+    qui y correspond sera appliquée. Si cette politique est
+    <varname>REJECT</varname> ou <varname>DROP</varname> la requête est dans
+    un premier temps comparée par rapport aux règles contenues dans le fichier
+    <filename
+    class="directory">/etc/shorewall/</filename><filename>common</filename>,
+    si ce fichier existe; sinon les régles dans le fichier <filename
+    class="directory">/etc/shorewall/</filename><filename>common.def</filename>
+    sont vérifiées.</para>
 
-            <entry><emphasis role="bold">POLICY</emphasis></entry>
+    <para>Le fichier /etc/shorewall/policy inclus dans l'archive d'exemple
+    (one-interface) contient les politiques suivantes:</para>
 
-            <entry><emphasis role="bold">LOG LEVEL</emphasis></entry>
-
-            <entry><emphasis role="bold">LIMIT:BURST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>fw</entry>
-
-            <entry>net</entry>
-
-            <entry>ACCEPT</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-
-          <row>
-            <entry>net</entry>
-
-            <entry>all</entry>
-
-            <entry>DROP</entry>
-
-            <entry>info</entry>
-
-            <entry></entry>
-          </row>
-
-          <row>
-            <entry>all</entry>
-
-            <entry>all</entry>
-
-            <entry>REJECT</entry>
-
-            <entry>info</entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
+    <programlisting>#SOURCE ZONE   DESTINATION ZONE   POLICY   LOG LEVEL   LIMIT:BURST
+fw             net                ACCEPT
+net            all                DROP     info
+all            all                REJECT   info</programlisting>
 
     <para>Ces politiques vont :</para>
 
     <orderedlist>
       <listitem>
-        <para>permettre toutes demandes de connexion depuis le firewall vers
-        l&#39;Internet</para>
+        <para>Permettre toutes demandes de connexion depuis le firewall vers
+        l'Internet</para>
       </listitem>
 
       <listitem>
-        <para>drop (ignorer) toutes les demandes de connexion depuis
-        l&#39;Internet vers votre firewall</para>
+        <para>Drop (ignorer) toutes les demandes de connexion depuis
+        l'Internet vers votre firewall</para>
       </listitem>
 
       <listitem>
-        <para>rejeter toutes les autres requêtes de connexion (Shorewall à
-        besoin de cette politique).</para>
+        <para>Reject (rejeter) toutes les autres requêtes de connexion
+        (Shorewall à besoin de cette politique).</para>
       </listitem>
     </orderedlist>
 
     <para><inlinegraphic fileref="images/BD21298_.gif" /> A ce point, éditez
-    votre /etc/shorewall/policy et faites y les changements que vous désirez.</para>
+    votre /etc/shorewall/policy et faites y les changements que vous
+    désirez.</para>
   </section>
 
   <section>
     <title>Interface Externe</title>
 
     <para>Le firewall possède une seule interface réseau. Lorsque la connexion
-    Internet passe par un modem câble ou par un routeur ADSL (pas un simple
-    modem), l&#39;External Interface (interface externe) sera l&#39;adaptateur
-    ethernet (<emphasis role="bold">eth0</emphasis>) qui y est connecté à
-    moins que vous vous connectiez par Point-to-Point Protocol over Ethernet
-    (PPPoE) ou Point-to-Point TunnelingProtocol(PPTP) dans ce cas
-    l&#39;interface externe sera <emphasis role="bold">ppp0</emphasis>. Si
-    vous vous connectez par un simple modem (RTC), votre interface externe
-    sera aussi <emphasis role="bold">ppp0</emphasis>. Si vous vous connectez
-    en utilisant l&#39;ISDN (numéris), votre interface externe sera <emphasis
-    role="bold">ippp0</emphasis>.</para>
+    Internet passe par un modem câble ou par un
+    <quote>Routeur</quote><acronym> ADSL</acronym>(pas un simple modem),
+    l'<emphasis>Interface Externe</emphasis> sera l'adaptateur ethernet qui y
+    est connecté à ce <quote>Modem</quote> (e.g., <filename
+    class="devicefile">eth0</filename>) à moins d'une connexion par
+    <emphasis>Point-to-Point Protocol</emphasis> over Ethernet
+    (<acronym>PPPoE</acronym>) ou <emphasis>Point-to-Point Tunneling
+    Protocol</emphasis> (<acronym>PPTP</acronym>) dans ce cas l'interface
+    externe sera (e.g., <filename class="devicefile">ppp0</filename>). Si vous
+    utilisez par un simple modem (<acronym>RTC</acronym>), votre interface
+    externe sera aussi <filename class="devicefile">ppp0</filename>. Si vous
+    utilisez l'<acronym>ISDN</acronym>, votre interface externe sera <filename
+    class="devicefile">ippp0</filename>.</para>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> L&#39;exemple de
-    configuration de Shorewall pour une interface suppose que votre interface
-    externe est <emphasis role="bold">eth0</emphasis>. Si votre configuration
-    est différente, vous devrez modifier le fichier d&#39;exemple
-    /etc/shorewall/interfaces en conséquence. Puisque vous y êtes, vous
-    pourriez parcourir la liste d&#39;options qui sont spécifiées pour
-    l&#39;interface. Quelques astuces :</para>
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
 
-    <itemizedlist>
-      <listitem>
-        <para>Si votre interface externe est <emphasis role="bold">ppp0</emphasis>
-        ou <emphasis role="bold">ippp0</emphasis>, vous pouvez remplacer le
-        &#34;detect&#34; dans la seconde colonne par un &#34;-&#34;.</para>
-      </listitem>
+    <para>Si votre interface vers l'extérieur est <emphasis
+    role="bold">ppp0</emphasis> ou <emphasis role="bold">ippp0</emphasis>
+    alors vous mettrez <varname>CLAMPMSS=yes</varname> dans le fichier
+    <filename
+    class="directory">/etc/shorewall/</filename><filename>shorewall.conf</filename>.</para>
 
-      <listitem>
-        <para>Si votre interface externe est <emphasis role="bold">ppp0</emphasis>
-        ou <emphasis role="bold">ippp0</emphasis> ou bien si vous avez une
-        adresse IP statique, vous pouvez enlever le &#34;dhcp&#34; de la liste
-        d&#39;option.</para>
-      </listitem>
-    </itemizedlist>
+    <para>Le fichier de configuration d'exemple pour une interface suppose que
+    votre interface externe est eth0. Si votre configuration est différente,
+    vous devrez modifier le fichier<filename
+    class="directory">/etc/shorewall/</filename><filename>interfaces</filename>
+    en conséquence. Tant que vous y êtes, vous pourriez parcourir la liste des
+    options qui sont spécifiées pour les interfaces. Quelques trucs:</para>
+
+    <tip>
+      <para>Si votre interface vers l'extérieur est <filename
+      class="devicefile">ppp0</filename> ou <filename
+      class="devicefile">ippp0</filename>, vous pouvez remplacer le detect
+      dans la seconde colonne par un <quote>-</quote> (sans les
+      quotes).</para>
+    </tip>
+
+    <tip>
+      <para>Si votre interface vers l'extérieur est <filename
+      class="devicefile">ppp0</filename> or <filename
+      class="devicefile">ippp0</filename> u si vous avez une adresse
+      <acronym>IP</acronym> statique, vous pouvez enlever
+      <varname>dhcp</varname> dans la liste des options .</para>
+    </tip>
+
+    <tip>
+      <para>Si vous spécifiez <emphasis>norfc1918</emphasis> pour votre
+      interface externe, vous pouvez vérifier périodiquement le <ulink
+      url="errata.htm">Shorewall Errata</ulink> pour mettre à jour le fichier
+      <filename>/usr/share/shorewall/rfc1918</filename>. Sinon, vous pouvez
+      copier le fichier <filename>/usr/share/shorewall/rfc1918</filename> vers
+      <filename>/etc/shorewall/rfc1918</filename> et <ulink
+      url="myfiles.htm#RFC1918">adapter votre fichier
+      <filename>/etc/shorewall/rfc1918</filename> comme je le
+      fais</ulink>.</para>
+    </tip>
   </section>
 
   <section>
     <title>Adresse IP</title>
 
-    <para>La RFC 1918 définie plusieurs plage d&#39;adresses IP privée
-    (PrivateIP) pour l&#39;utilisation dans des réseaux privés :</para>
-
-    <programlisting>     10.0.0.0    - 10.255.255.255
-     172.16.0.0  - 172.31.255.255
-     192.168.0.0 - 192.168.255.255</programlisting>
-
-    <para>Ces adresses sont parfois désignées comme étant non-routables car
-    les routeurs sur les backbones Internet ne font pas passer les paquets
-    dont les adresses de destinations sont définies dans la RFC 1918. Dans
-    certains cas, les fournisseurs (provider ou ISP) utilisent ces adresses et
-    utilisent le Network Address Translation afin de récrire les entêtes des
-    paquets lorsqu&#39;ils les font circuler depuis ou vers l&#39;Internet.</para>
-
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> Avant de lancer
-    Shorewall, vous devriez regarder l&#39;adresse de votre interface externe
-    et si elle est comprise dans une des plages précédentes, vous devriez
-    enlever l&#39;option &#39;norfc1918&#39; dans le fichier
-    /etc/shorewall/interfaces.</para>
-  </section>
-
-  <section>
-    <title>Permettre d&#39;autres connexions</title>
-
-    <para>Si vous désirez autoriser d&#39;autres connexions depuis
-    l&#39;Internet vers votre firewall, le format général est :<table><title>/etc/shorewall/rules</title><tgroup
-    cols="7"><tbody><row><entry><emphasis role="bold">ACTION</emphasis></entry><entry><emphasis
-    role="bold">SOURCE</emphasis></entry><entry><emphasis role="bold">DESTINATION</emphasis></entry><entry><emphasis
-    role="bold">PROTOCOL</emphasis></entry><entry><emphasis role="bold">PORT</emphasis></entry><entry><emphasis
-    role="bold">SOURCE PORT</emphasis></entry><entry><emphasis role="bold">ORIGINAL
-    DEST</emphasis></entry></row><row><entry>ACCEPT</entry><entry>net</entry><entry>fw</entry><entry><emphasis>&#60;protocol&#62;</emphasis></entry><entry><emphasis>&#60;port&#62;</emphasis></entry><entry></entry><entry></entry></row></tbody></tgroup></table></para>
-
-    <para>Exemple - Vous voulez faire tourner un serveur Web et un serveur
-    POP3 sur votre système de firewall :</para>
+    <para>Avant d'aller plus loin, nous devons dire quelques mots au sujet des
+    adresses Internet Protocol (<acronym>IP</acronym>). Normalement, votre
+    fournisseur Internet <acronym>ISP</acronym> vous assignera une seule
+    adresse IP. Cette adresse peut être assignée par le Dynamic Host
+    Configuration Protocol (<acronym>DHCP</acronym>) ou lors de
+    l'établissement de votre connexion (modem standard) ou établissez votre
+    connexion <acronym>PPP</acronym>. Dans de rares cas , votre provider peut
+    vous assigner une adresse statique <acronym>IP</acronym> ; cela signifie
+    que vous devez configurer l'interface externe de votre firewall afin
+    d'utiliser cette adresse de manière permanente. La <emphasis
+    role="bold">RFC 1918</emphasis> réserve plusieurs plages d'adresses
+    privées <emphasis>Private</emphasis> <acronym>IP</acronym> à cet
+    fin:</para>
 
     <table>
-      <title>/etc/shorewall/rules</title>
+      <title>Exemple sous-réseau</title>
+
+      <tgroup cols="2">
+        <colspec align="left" />
 
-      <tgroup cols="7">
         <tbody>
           <row>
-            <entry><emphasis role="bold">ACTION</emphasis></entry>
+            <entry>Range:</entry>
 
-            <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-            <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-            <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-            <entry><emphasis role="bold">PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
+            <entry><systemitem class="ipaddress">10.10.10.0</systemitem> -
+            <systemitem class="ipaddress">10.10.10.255</systemitem></entry>
           </row>
 
           <row>
-            <entry>ACCEPT</entry>
+            <entry>Subnet Address:</entry>
 
-            <entry>net</entry>
-
-            <entry>fw</entry>
-
-            <entry>tcp</entry>
-
-            <entry>80</entry>
-
-            <entry></entry>
-
-            <entry></entry>
+            <entry><systemitem
+            class="ipaddress">10.10.10.0</systemitem></entry>
           </row>
 
           <row>
-            <entry>ACCEPT</entry>
+            <entry>Broadcast Address:</entry>
 
-            <entry>net</entry>
+            <entry><systemitem
+            class="ipaddress">10.10.10.255</systemitem></entry>
+          </row>
 
-            <entry>fw</entry>
+          <row>
+            <entry>CIDR Notation:</entry>
 
-            <entry>tcp</entry>
-
-            <entry>110</entry>
-
-            <entry></entry>
-
-            <entry></entry>
+            <entry><systemitem
+            class="ipaddress">10.10.10.0/24</systemitem></entry>
           </row>
         </tbody>
       </tgroup>
     </table>
 
-    <para>Si vous ne savez pas quel port ou protocole une application
-    particulière utilise, regardez <ulink url="ports.htm">ici</ulink>.
-    <emphasis role="bold">Important:</emphasis> Je ne vous recommande pas
-    d&#39;autoriser le telnet depuis ou vers l&#39;Internet car il utilise du
-    texte en clair (même pour le login et le mot de passe !). Si vous voulez
-    avoir un accès au shell de votre firewall depuis Internet, utilisez SSH :</para>
+    <para>Ces adresses sont parfois nommées comme
+    <emphasis>non-routable</emphasis> car les routeurs centraux d'Internet ne
+    renvoient pas un paquet dont la destination est réservée par la RFC 1918.
+    Dans certain cas cependant, les FAI (fournisseurs d'accés Internet)
+    assignent ces adresses et utilisent ensuite NAT <emphasis>Network Address
+    Translation</emphasis> pour réécrire les en-têtes de paquets renvoyés
+    vers/depuis Internet.</para>
 
-    <table>
-      <title>/etc/shorewall/rules</title>
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
 
-      <tgroup cols="7">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-            <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-            <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-            <entry><emphasis role="bold">PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>ACCEPT</entry>
-
-            <entry>net</entry>
-
-            <entry>fw</entry>
-
-            <entry>tcp</entry>
-
-            <entry>22</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> A ce point, éditez
-    /etc/shorewall/rules pour rajouter les autres connexions désirées.</para>
+    <para>Avant de lancer Shorewall, regarder l'adresse IP de votre interface
+    externe, et si elle est dans les plages précédentes, vous devez enlever
+    l'option 'norfc1918' dans la ligne concernant l'interface externe dans le
+    fichier <filename
+    class="directory">/etc/shorewall/</filename><filename>interfaces</filename>.</para>
   </section>
 
   <section>
-    <title>Lancer et Arrêter son Firewall</title>
+    <title>Permettre d'autres connexions</title>
 
-    <para>La <ulink url="Install.htm">procédure d&#39;installation</ulink>
+    <para>Shorewall version 2.0.0 et postérieure propose une collection
+    d'actions qui peuvent être utilisées pour rapidemement autoriser ou
+    refuser des services. Pour voir les actions comprises avec votre version
+    de Shorewall, regardez dans le fichier
+    <filename>/etc/shorewall/actions.std</filename>. Le nom de celles qui
+    acceptent des connexions débutent par <quote>Allow</quote>.</para>
+
+    <para>Si vous souhaitez autoriser d'autre connexions depuis internet vers
+    votre firewall, le format général utilisant l'action type
+    <quote>Allow</quote> est:</para>
+
+    <programlisting>#ACTION   SOURCE    DESTINATION     PROTO       DEST PORT(S)
+&lt;<emphasis>action</emphasis>&gt;  net       fw</programlisting>
+
+    <example>
+      <title>Vous voulez un serveur Web et POP3 accessible de l'extérieur sur
+      votre firewall:</title>
+
+      <programlisting>#ACTION   SOURCE    DESTINATION     PROTO       DEST PORT(S)
+AllowWeb  net       fw
+AllowPOP3 net       fw</programlisting>
+    </example>
+
+    <para>Au cas ou Shorewall ne propose pas d'actions définies qui vous
+    conviennent, vous pouvez les définir vous même ou coder directement les
+    régles dans <filename>/etc/shorewall/rules</filename> selon le format
+    suivant:</para>
+
+    <programlisting>#ACTION   SOURCE    DESTINATION     PROTO       DEST PORT(S)
+ACCEPT    net       fw              <emphasis>&lt;protocol&gt;</emphasis>  <emphasis>&lt;port&gt;</emphasis></programlisting>
+
+    <example>
+      <title>Vous voulez un serveur Web et POP3 accessible de l'extérieur sur
+      votre firewall:</title>
+
+      <para><programlisting>#ACTION   SOURCE    DESTINATION     PROTO       DEST PORT(S)
+ACCEPT    net       fw              tcp          80
+ACCEPT    net       fw              tcp          110</programlisting></para>
+    </example>
+
+    <para>Si vous ne savez pas quel port(s) et protocole(s) requièrent une
+    application particulière, vous pouvez regarder <ulink
+    url="ports.htm">ici</ulink>.</para>
+
+    <important>
+      <para>Je ne recommande pas d'autoriser <command>telnet</command> vers/de
+      l'Internet parce qu'il utilise du texte en clair (même pour le login!).
+      Si vous voulez un accés shell à votre firewall, utilisez
+      <acronym>SSH</acronym>:</para>
+
+      <programlisting>#ACTION    SOURCE    DEST               PROTO     DEST PORT(S)
+AllowSSH   net       fw</programlisting>
+    </important>
+
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
+
+    <para>Maintenant, éditez votre fichier de configuration <filename
+    class="directory">/etc/shorewall/</filename><filename>rules</filename>
+    pour ajouter, modifier ou supprimer les autres connexions voulues.</para>
+  </section>
+
+  <section>
+    <title>Démarrer et Arrêter Votre Firewall</title>
+
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
+
+    <para>La <ulink url="Install.htm">procédure d'installation</ulink>
     configure votre système pour lancer Shorewall au boot du système, mais au
     début avec la version 1.3.9 de Shorewall le lancement est désactivé,
-    n&#39;essayer pas de lancer Shorewall avec que la configuration soit
-    finie. Une fois que vous en aurez fini avec la configuration du firewall,
-    vous pouvez permettre le lancement de Shorewall en supprimant le fichier
-    /etc/shorewall/startup_disabled.</para>
+    n'essayer pas de lancer Shorewall avec que la configuration soit finie.
+    Une fois que vous en aurez fini avec la configuration du firewall, vous
+    pouvez permettre le lancement de Shorewall en supprimant le fichier
+    <filename
+    class="directory">/etc/shorewall/</filename><filename>startup_disabled</filename>.</para>
 
-    <para><emphasis role="bold">IMPORTANT: Les utilisateurs des paquets .deb
-    doivent éditer /etc/default/shorewall et mettre &#39;startup=1&#39;.</emphasis></para>
+    <important>
+      <para>Les utilisateurs des paquets .deb doivent éditer <filename
+      class="directory">/etc/default/</filename><filename>shorewall</filename>
+      and set <varname>startup=1</varname>.</para>
+    </important>
 
-    <para>Le firewall est activé en utilisant la commande &#34;shorewall
-    start&#34; et arrêté avec &#34;shorewall stop&#34;. Lorsque le firewall
-    est stoppé, le routage est autorisé sur les hôtes qui possèdent une entrée
-    dans <ulink url="Documentation.htm#Routestopped">/etc/shorewall/routestopped</ulink>.
-    Un firewall qui tourne peut être relancé en utilisant la commande
-    &#34;shorewall restart&#34;. Si vous voulez enlever toutes traces de
-    Shorewall sur votre configuration de Netfilter, utilisez &#34;shorewall
-    clear&#34;.</para>
+    <para>Le firewall est activé en utilisant la commande
+    <quote><command>shorewall start</command></quote> et arrêté avec
+    <quote><command>shorewall stop</command></quote>. Lorsque le firewall est
+    stoppé, le routage est autorisé sur les hôtes qui possèdent une entrée
+    dans <filename
+    class="directory">/etc/shorewall/</filename><filename><ulink
+    url="Documentation.htm#Routestopped">routestopped</ulink></filename>. Un
+    firewall qui tourne peut être relancé en utilisant la commande
+    <quote><command>shorewall restart</command></quote> command. Si vous
+    voulez enlever toutes traces de Shorewall sur votre configuration de
+    Netfilter, utilisez <quote><command>shorewall
+    clear</command></quote>.</para>
 
-    <para><emphasis role="bold">ATTENTION:</emphasis> Si vous êtes connecté à
-    votre firewall depuis Internet, n&#39;essayez pas une commande
-    &#34;shorewall stop&#34; tant que vous n&#39;avez pas ajouté une entrée
-    pour votre adresse IP (celle à partir de laquelle vous êtes connectée)
-    dans<ulink url="Documentation.htm#Routestopped">
-    /etc/shorewall/routestopped</ulink>. De la même manière, je ne vous
-    recommande pas d&#39;utiliser &#34;shorewall restart&#34;; il est plus
-    intéressant de créer <ulink url="configuration_file_basics.htm#Configs">une
-    configuration alternative</ulink> et de la tester en utilisant la commande
-    &#34;<ulink url="starting_and_stopping_shorewall.htm">shorewall try</ulink>&#34;.</para>
+    <warning>
+      <para>Si vous êtes connecté à votre firewall depuis Internet, n'essayez
+      pas une commande <quote><command>shorewall stop</command></quote> tant
+      que vous n'avez pas ajouté une entrée pour votre adresse
+      <acronym>IP</acronym> (celle à partir de laquelle vous êtes connectée)
+      dans <filename
+      class="directory">/etc/shorewall/</filename><filename>routestopped</filename>.
+      De la même manière, je ne vous recommande pas d'utiliser
+      <quote><command>shorewall restart</command></quote>; il est plus
+      intéressant de créer <ulink
+      url="configuration_file_basics.htm#Configs">une configuration
+      alternative</ulink> et de la tester en utilisant la commande
+      <quote><command>shorewall try</command></quote>.</para>
+    </warning>
   </section>
+
+  <section>
+    <title>Autres Lectures Recommandées</title>
+
+    <para>Je vous recommande vivement de lire la <ulink
+    url="configuration_file_basics.htm">page des Fonctionnalités Générales des
+    Fichiers de Configuration</ulink> -- elle contient des trucs sur les
+    possibilités de Shorewall pour rendre aisé l'administration de votre
+    firewall Shorewall.</para>
+  </section>
+
+  <appendix>
+    <title>Historique de Révision</title>
+
+    <para><revhistory>
+        <revision>
+          <revnumber>1.7</revnumber>
+
+          <date>2004-02-16</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Move /etc/shorewall/rfc1918 to
+          /usr/share/shorewall.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.6</revnumber>
+
+          <date>2004-02-05</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Update for Shorewall 2.0</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.5</revnumber>
+
+          <date>2004-01-05</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Standards Changes</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.4</revnumber>
+
+          <date>2003-12-30</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Add tip about /etc/shorewall/rfc1918 updates.</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.3</revnumber>
+
+          <date>2003-11-15</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Initial Docbook Conversion</revremark>
+        </revision>
+      </revhistory></para>
+  </appendix>
 </article>
\ No newline at end of file
diff --git a/Shorewall-docs2/starting_and_stopping_shorewall.xml b/Shorewall-docs2/starting_and_stopping_shorewall.xml
index 9ce640a6c..6ee0a628a 100644
--- a/Shorewall-docs2/starting_and_stopping_shorewall.xml
+++ b/Shorewall-docs2/starting_and_stopping_shorewall.xml
@@ -15,7 +15,7 @@
       </author>
     </authorgroup>
 
-    <pubdate>2004-01-04</pubdate>
+    <pubdate>2004-05-03</pubdate>
 
     <copyright>
       <year>2001-2004</year>
@@ -29,7 +29,8 @@
       1.2 or any later version published by the Free Software Foundation; with
       no Invariant Sections, with no Front-Cover, and with no Back-Cover
       Texts. A copy of the license is included in the section entitled
-      <quote><ulink url="GnuCopyright.htm">GNU Free Documentation License</ulink></quote>.</para>
+      <quote><ulink url="GnuCopyright.htm">GNU Free Documentation
+      License</ulink></quote>.</para>
     </legalnotice>
   </articleinfo>
 
@@ -41,7 +42,7 @@
     url="Install.htm">installation procedure</ulink> attempts to set up the
     init scripts to start the firewall in run levels 2-5 and stop it in run
     levels 1 and 6. If you want to configure your firewall differently from
-    this default, you can use your distribution&#39;s run-level editor.</para>
+    this default, you can use your distribution's run-level editor.</para>
 
     <caution>
       <itemizedlist>
@@ -49,8 +50,9 @@
           <para>Shorewall startup is disabled by default. Once you have
           configured your firewall, you can enable startup by removing the
           file <filename>/etc/shorewall/startup_disabled</filename>. Note:
-          Users of the .deb package must edit <filename>/etc/default/shorewall</filename>
-          and set <quote>startup=1</quote>.</para>
+          Users of the .deb package must edit
+          <filename>/etc/default/shorewall</filename> and set
+          <quote>startup=1</quote>.</para>
         </listitem>
 
         <listitem>
@@ -68,29 +70,40 @@
 
     <itemizedlist>
       <listitem>
-        <para><command>shorewall start </command>- starts the firewall. It
-        important to understand that when the firewall is in the <emphasis
-        role="bold">Started</emphasis> state there is <emphasis>no Shorewall
-        Program</emphasis> <emphasis>running</emphasis>. It rather means that
-        Netfilter has been configured to handle traffic as described in your
-        Shorewall configuration files. Please refer to the <link
-        linkend="State">Shorewall State Diagram</link> as shown at the bottom
-        of this page for more information.</para>
+        <para><command>shorewall [ -q ] [ -f ] start </command>- starts the
+        firewall. It important to understand that when the firewall is in the
+        <emphasis role="bold">Started</emphasis> state there is <emphasis>no
+        Shorewall Program</emphasis> <emphasis>running</emphasis>. It rather
+        means that Netfilter has been configured to handle traffic as
+        described in your Shorewall configuration files. Please refer to the
+        <link linkend="State">Shorewall State Diagram</link> as shown at the
+        bottom of this page for more information. The -q option was added in
+        Shorewall 2.0.2 Beta 1 and reduces the amout of output produced. Also
+        beginning with Shorewall version 2.0.2 Beta 1, the -f option may be
+        specified; if this option is given and the file
+        <filename>/var/lib/shorewall/restore</filename> is present (see
+        <command>shorewall save</command> below), then that script is run to
+        restore the state of the firewall to the state when
+        <filename>/var/lib/shorewall/restore</filename> was created. This is
+        generally must faster than starting the firewall without the -f
+        option.</para>
       </listitem>
 
       <listitem>
         <para><command>shorewall stop</command> - stops the firewall; the only
         traffic permitted through the firewall is from systems listed in
         <filename>/etc/shorewall/routestopped</filename> (Beginning with
-        version 1.4.7, if ADMINISABSENTMINDED=Yes in <filename>/etc/shorewall/shorewall.conf</filename>
-        then in addition, all existing connections are permitted and any new
-        connections originating from the firewall itself are allowed).</para>
+        version 1.4.7, if ADMINISABSENTMINDED=Yes in
+        <filename>/etc/shorewall/shorewall.conf</filename> then in addition,
+        all existing connections are permitted and any new connections
+        originating from the firewall itself are allowed).</para>
       </listitem>
 
       <listitem>
-        <para><command>shorewall restart </command>- stops the firewall (if it
-        is in the <emphasis role="bold">Started</emphasis> state) and then
-        starts it again</para>
+        <para><command>shorewall [ -q ] restart </command>- stops the firewall
+        (if it is in the <emphasis role="bold">Started</emphasis> state) and
+        then starts it again. The -q option was added in Shorewall 2.0.2 Beta
+        1 and reduces the amout of output produced.</para>
       </listitem>
 
       <listitem>
@@ -100,7 +113,8 @@
 
       <listitem>
         <para><command>shorewall clear</command> - remove all rules and chains
-        installed by Shoreline Firewall. The firewall is <quote>wide open</quote></para>
+        installed by Shoreline Firewall. The firewall is <quote>wide
+        open</quote></para>
       </listitem>
 
       <listitem>
@@ -108,18 +122,38 @@
         involving the broadcast addresses of firewall interfaces, the black
         list, traffic control rules and ECN control rules.</para>
       </listitem>
+
+      <listitem>
+        <para><command>shorewall save</command> - Beginning with Shorewall
+        2.0.2 Beta1, this command creates a script
+        <filename>/var/lib/shorewall/restore</filename> which when run will
+        restore the state of the firewall to its current state.</para>
+      </listitem>
+
+      <listitem>
+        <para><command>shorewall restore</command> - Runs the
+        <filename>/var/lib/shorewall/restore </filename>created by the
+        <command>shorewall save</command> command.</para>
+      </listitem>
+
+      <listitem>
+        <para>shorewall forget - Added in Shorewall 2.0.2 Beta 1. Removes the
+        <filename>/var/lib/shorewall restore</filename> script created by the
+        <command>shorewall save </command>command.</para>
+      </listitem>
     </itemizedlist>
 
     <para>If you include the keyword debug as the first argument, then a shell
     trace of the command is produced as in:</para>
 
-    <para><programlisting>     <command>shorewall debug start 2&#62; /tmp/trace</command></programlisting>The
+    <para><programlisting>     <command>shorewall debug start 2&gt; /tmp/trace</command></programlisting>The
     above command would trace the <quote>start</quote> command and place the
     trace information in the file /tmp/trace</para>
 
     <para>Beginning with version 1.4.7, shorewall can give detailed help about
     each of its commands: <programlisting>     <command>shorewall help [ command | host | address ]</command></programlisting>The
-    <quote>shorewall</quote> program may also be used to monitor the firewall.</para>
+    <quote>shorewall</quote> program may also be used to monitor the
+    firewall.</para>
 
     <itemizedlist>
       <listitem>
@@ -128,21 +162,24 @@
       </listitem>
 
       <listitem>
-        <para><command>shorewall show &#60;chain1&#62; [ &#60;chain2&#62; ...
-        ]</command> - produce a verbose report about the listed chains (<command>iptables
-        -L chain -n -v</command>) Note: You may only list one chain in the
-        show command when running Shorewall version 1.4.6 and earlier. Version
-        1.4.7 and later allow you to list multiple chains in one command.</para>
+        <para><command>shorewall show &lt;chain1&gt; [ &lt;chain2&gt; ...
+        ]</command> - produce a verbose report about the listed chains
+        (<command>iptables -L chain -n -v</command>) Note: You may only list
+        one chain in the show command when running Shorewall version 1.4.6 and
+        earlier. Version 1.4.7 and later allow you to list multiple chains in
+        one command.</para>
       </listitem>
 
       <listitem>
         <para><command>shorewall show nat</command> - produce a verbose report
-        about the nat table (<command>iptables -t nat -L -n -v</command>)</para>
+        about the nat table (<command>iptables -t nat -L -n
+        -v</command>)</para>
       </listitem>
 
       <listitem>
         <para><command>shorewall show tos</command> - produce a verbose report
-        about the mangle table (<command>iptables -t mangle -L -n -v</command>)</para>
+        about the mangle table (<command>iptables -t mangle -L -n
+        -v</command>)</para>
       </listitem>
 
       <listitem>
@@ -161,17 +198,18 @@
       </listitem>
 
       <listitem>
-        <para><command>shorewall monitor [ &#60;delay&#62; ]</command> -
+        <para><command>shorewall monitor [ &lt;delay&gt; ]</command> -
         Continuously display the firewall status, last 20 log entries and nat.
         When the log entry display changes, an audible alarm is sounded. The
-        <emphasis>&#60;delay&#62;</emphasis> indicates the number of seconds
+        <emphasis>&lt;delay&gt;</emphasis> indicates the number of seconds
         between updates with the default being 10 seconds.</para>
       </listitem>
 
       <listitem>
         <para><command>shorewall hits</command> - Produces several reports
         about the Shorewall packet log messages in the current log file named
-        in the LOGFILE variable in <filename>/etc/shorewall/shorewall.conf</filename>.</para>
+        in the LOGFILE variable in
+        <filename>/etc/shorewall/shorewall.conf</filename>.</para>
       </listitem>
 
       <listitem>
@@ -181,21 +219,27 @@
 
       <listitem>
         <para><command>shorewall check</command> - Performs a cursory
-        validation of the zones, interfaces, hosts, rules and policy files.<caution><para>The
-        <quote><command>check</command></quote> command is totally unsuppored
-        and does not parse and validate the generated iptables commands. Even
-        though the <quote>check</quote> command completes successfully, the
-        configuration may fail to start. Problem reports that complain about
-        errors that the <quote>check</quote> command does not detect will not
-        be accepted.</para><para>See the recommended way to make configuration
-        changes described below.</para></caution></para>
+        validation of the zones, interfaces, hosts, rules and policy
+        files.<caution>
+            <para>The <quote><command>check</command></quote> command is
+            totally unsuppored and does not parse and validate the generated
+            iptables commands. Even though the <quote>check</quote> command
+            completes successfully, the configuration may fail to start.
+            Problem reports that complain about errors that the
+            <quote>check</quote> command does not detect will not be
+            accepted.</para>
+
+            <para>See the recommended way to make configuration changes
+            described below.</para>
+          </caution></para>
       </listitem>
 
       <listitem>
-        <para><command>shorewall try &#60;<errortype>configuration-directory</errortype>&#62;
-        [ &#60;timeout&#62; ]</command> - Restart shorewall using the
-        specified configuration and if an error occurs or if the
-        <emphasis>&#60;timeout&#62;</emphasis> option is given and the new
+        <para><command>shorewall try
+        &lt;<errortype>configuration-directory</errortype>&gt; [
+        &lt;timeout&gt; ]</command> - Restart shorewall using the specified
+        configuration and if an error occurs or if the
+        <emphasis>&lt;timeout&gt;</emphasis> option is given and the new
         configuration has been up for that many seconds then shorewall is
         restarted using the standard configuration.</para>
       </listitem>
@@ -212,16 +256,17 @@
 
     <itemizedlist>
       <listitem>
-        <para><command>shorewall ipcalc [ &#60;address&#62; &#60;mask&#62; |
-        &#60;address&#62;/&#60;vlsm&#62; ] </command>- displays the network
+        <para><command>shorewall ipcalc [ &lt;address&gt; &lt;mask&gt; |
+        &lt;address&gt;/&lt;vlsm&gt; ] </command>- displays the network
         address, broadcast address, network in CIDR notation and netmask
         corresponding to the input[s].</para>
       </listitem>
 
       <listitem>
-        <para><command>shorewall iprange &#60;address1&#62;-&#60;address2&#62;</command>
-        - Decomposes the specified range of IP addresses into the equivalent
-        list of network/host addresses</para>
+        <para><command>shorewall iprange
+        &lt;address1&gt;-&lt;address2&gt;</command> - Decomposes the specified
+        range of IP addresses into the equivalent list of network/host
+        addresses</para>
       </listitem>
     </itemizedlist>
 
@@ -230,19 +275,19 @@
 
     <itemizedlist>
       <listitem>
-        <para><command>shorewall drop &#60;ip address list&#62;</command> -
+        <para><command>shorewall drop &lt;ip address list&gt;</command> -
         causes packets from the listed IP addresses to be silently dropped by
         the firewall.</para>
       </listitem>
 
       <listitem>
-        <para><command>shorewall reject &#60;ip address list&#62;</command> -
+        <para><command>shorewall reject &lt;ip address list&gt;</command> -
         causes packets from the listed IP addresses to be rejected by the
         firewall.</para>
       </listitem>
 
       <listitem>
-        <para><command>shorewall allow &#60;ip address list&#62;</command> -
+        <para><command>shorewall allow &lt;ip address list&gt;</command> -
         re-enables receipt of packets from hosts previously blacklisted by a
         drop or reject command.</para>
       </listitem>
@@ -250,7 +295,10 @@
       <listitem>
         <para><command>shorewall save</command> - save the dynamic
         blacklisting configuration so that it will be automatically restored
-        the next time that the firewall is restarted.</para>
+        the next time that the firewall is restarted. Beginning with Shorewall
+        version 2.0.2 Beta1, this command also creats the
+        <filename>/var/lib/shorewall/restore</filename> script as described
+        above.</para>
       </listitem>
 
       <listitem>
@@ -264,15 +312,15 @@
 
     <itemizedlist>
       <listitem>
-        <para><command>shorewall add &#60;interface&#62;[:&#60;host&#62;]
-        &#60;zone&#62;</command> - Adds the specified interface (and host if
+        <para><command>shorewall add &lt;interface&gt;[:&lt;host&gt;]
+        &lt;zone&gt;</command> - Adds the specified interface (and host if
         included) to the specified zone.</para>
       </listitem>
 
       <listitem>
-        <para><command>shorewall delete &#60;interface&#62;[:&#60;host&#62;]
-        &#60;zone&#62;</command> - Deletes the specified interface (and host
-        if included) from the specified zone.</para>
+        <para><command>shorewall delete &lt;interface&gt;[:&lt;host&gt;]
+        &lt;zone&gt;</command> - Deletes the specified interface (and host if
+        included) from the specified zone.</para>
 
         <para>Examples:<programlisting>     <command>shorewall add ipsec0:192.0.2.24 vpn1</command> -- adds the address 192.0.2.24 from interface ipsec0 to the zone vpn1
      <command>shorewall delete ipsec0:192.0.2.24 vpn1</command> -- deletes the address 192.0.2.24 from interface ipsec0 from zone vpn1</programlisting></para>
@@ -280,24 +328,51 @@
     </itemizedlist>
   </section>
 
+  <section>
+    <title>Error Handling</title>
+
+    <para>When <command>shorewall start</command>, <command>shorewall
+    restart</command> or <command>shorewall refresh</command> encounter an
+    error, the behavior depends on which version of Shorewall you are running
+    and whether there is a <filename>/var/lib/shorewall/restore</filename>
+    script available (see <command>shorewall save</command> above).</para>
+
+    <itemizedlist>
+      <listitem>
+        <para>If you are running a version of Shorewall earlier than 2.0.2
+        Beta 1 then the effect is as if a <command>shorewall stop</command>
+        command had been run.</para>
+      </listitem>
+
+      <listitem>
+        <para>If you have executed a <command>shorewall save</command> command
+        without a subsequent <command>shorewall forget</command>, then the
+        firewall is restored to the state when <command>shorewall
+        save</command> was executed.</para>
+      </listitem>
+    </itemizedlist>
+  </section>
+
   <section>
     <title>Alternate Configurations</title>
 
-    <para>The <command>shorewall start</command>, <command>shorewall restart</command>,
-    <command>shorewall check</command>, and <command>shorewall try </command>commands
-    allow you to specify which Shorewall configuration to use:</para>
+    <para>The <command>shorewall start</command>, <command>shorewall
+    restart</command>, <command>shorewall check</command>, and
+    <command>shorewall try </command>commands allow you to specify which
+    Shorewall configuration to use:</para>
 
-    <programlisting>     <command>shorewall [ -c &#60;configuration-directory&#62; ] {start|restart|check}</command>
-     <command>shorewall try &#60;configuration-directory&#62;</command></programlisting>
+    <programlisting>     <command>shorewall [ -c &lt;configuration-directory&gt; ] {start|restart|check}</command>
+     <command>shorewall try &lt;configuration-directory&gt;</command></programlisting>
 
-    <para>If a <emphasis>&#60;configuration-directory</emphasis>&#62; is
+    <para>If a <emphasis>&lt;configuration-directory</emphasis>&gt; is
     specified, each time that Shorewall is going to use a file in <filename
-    class="directory">/etc/shorewall</filename> it will first look in the<emphasis>
-    &#60;configuration-directory&#62;</emphasis> . If the file is present in
-    the <emphasis>&#60;configuration-directory&#62;,</emphasis> that file will
-    be used; otherwise, the file in <filename class="directory">/etc/shorewall</filename>
-    will be used. When changing the configuration of a production firewall, I
-    recommend the following:</para>
+    class="directory">/etc/shorewall</filename> it will first look in
+    the<emphasis> &lt;configuration-directory&gt;</emphasis> . If the file is
+    present in the <emphasis>&lt;configuration-directory&gt;,</emphasis> that
+    file will be used; otherwise, the file in <filename
+    class="directory">/etc/shorewall</filename> will be used. When changing
+    the configuration of a production firewall, I recommend the
+    following:</para>
 
     <itemizedlist>
       <listitem>
@@ -309,8 +384,8 @@
       </listitem>
 
       <listitem>
-        <para>&#60;copy any files that you need to change from /etc/shorewall
-        to . and change them here&#62;</para>
+        <para>&lt;copy any files that you need to change from /etc/shorewall
+        to . and change them here&gt;</para>
       </listitem>
 
       <listitem>
@@ -318,7 +393,7 @@
       </listitem>
 
       <listitem>
-        <para>&#60;correct any errors found by check and check again&#62;</para>
+        <para>&lt;correct any errors found by check and check again&gt;</para>
       </listitem>
 
       <listitem>
@@ -326,10 +401,10 @@
       </listitem>
     </itemizedlist>
 
-    <para>If the configuration starts but doesn&#39;t work, just
-    <quote>shorewall restart</quote> to restore the old configuration. If the
-    new configuration fails to start, the <quote>try</quote> command will
-    automatically start the old one for you.</para>
+    <para>If the configuration starts but doesn't work, just <quote>shorewall
+    restart</quote> to restore the old configuration. If the new configuration
+    fails to start, the <quote>try</quote> command will automatically start
+    the old one for you.</para>
 
     <para>When the new configuration works then just:</para>
 
@@ -357,7 +432,8 @@
 
     <para>You will note that the commands that result in state transitions use
     the word <quote>firewall</quote> rather than <quote>shorewall</quote>.
-    That is because the actual transitions are done by <command>/usr/share/shorewall/firewall</command>;
+    That is because the actual transitions are done by
+    <command>/usr/share/shorewall/firewall</command>;
     <command>/sbin/shorewall</command> runs <quote>firewall</quote> according
     to the following table:</para>
 
@@ -402,7 +478,8 @@
 
             <entry>firewall restart</entry>
 
-            <entry>Logically equivalent to <quote>firewall stop;firewall start</quote></entry>
+            <entry>Logically equivalent to <quote>firewall stop;firewall
+            start</quote></entry>
           </row>
 
           <row>
@@ -450,7 +527,7 @@
           <row>
             <entry>shorewall try</entry>
 
-            <entry>firewall -c &#60;new configuration&#62; restart If
+            <entry>firewall -c &lt;new configuration&gt; restart If
             unsuccessful then firewall start (standard configuration) If
             timeout then firewall restart (standard configuration)</entry>
 
@@ -464,9 +541,36 @@
   <appendix>
     <title>Revision History</title>
 
-    <para><revhistory><revision><revnumber>1.3-1.8</revnumber><date>2004-01-04</date><authorinitials>TE</authorinitials><revremark>Docbook
-    standards</revremark></revision><revision><revnumber>1.2</revnumber><date>2003-12-31</date><authorinitials>TE</authorinitials><revremark>Added
-    clarification about &#34;Started State&#34;</revremark></revision><revision><revnumber>1.1</revnumber><date>2003-12-29</date><authorinitials>TE</authorinitials><revremark>Initial
-    Docbook conversion</revremark></revision></revhistory></para>
+    <para><revhistory>
+        <revision>
+          <revnumber>1.3-1.8</revnumber>
+
+          <date>2004-01-04</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Docbook standards</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.2</revnumber>
+
+          <date>2003-12-31</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Added clarification about "Started State"</revremark>
+        </revision>
+
+        <revision>
+          <revnumber>1.1</revnumber>
+
+          <date>2003-12-29</date>
+
+          <authorinitials>TE</authorinitials>
+
+          <revremark>Initial Docbook conversion</revremark>
+        </revision>
+      </revhistory></para>
   </appendix>
 </article>
\ No newline at end of file
diff --git a/Shorewall-docs2/template.xml b/Shorewall-docs2/template.xml
index 4105741e2..4bbda5d7c 100644
--- a/Shorewall-docs2/template.xml
+++ b/Shorewall-docs2/template.xml
@@ -18,10 +18,6 @@
     <pubdate>YYYY-MM-DD</pubdate>
 
     <copyright>
-      <year>2001</year>
-
-      <year>2002</year>
-
       <year>2003</year>
 
       <holder>Thomas M. Eastep</holder>
diff --git a/Shorewall-docs2/three-interface.xml b/Shorewall-docs2/three-interface.xml
index 1ed38e89e..9ca6c7ac7 100755
--- a/Shorewall-docs2/three-interface.xml
+++ b/Shorewall-docs2/three-interface.xml
@@ -15,7 +15,7 @@
       </author>
     </authorgroup>
 
-    <pubdate>2004-04-03</pubdate>
+    <pubdate>2004-04-22</pubdate>
 
     <copyright>
       <year>2002-2004</year>
@@ -228,10 +228,11 @@
     first checked against the <filename>/etc/shorewall/rules</filename> file.
     If no rule in that file matches the connection request then the first
     policy in <filename>/etc/shorewall/policy</filename> that matches the
-    request is applied. If that policy is REJECT or DROP the request is first
-    checked against the rules in <filename>/etc/shorewall/common</filename> if
-    that file exists; otherwise the file <filename>/etc/shorewall/common.def</filename>
-    is checked</para>
+    request is applied. If there is a <ulink
+    url="shorewall_extension_scripts.htm">comon action</ulink> defined for the
+    policy in <filename>/etc/shorewall/actions</filename> or
+    <filename>/usr/share/shorewall/actions.std</filename> then that action is
+    peformed before the action is applied.</para>
 
     <para>The <filename>/etc/shorewall/policy</filename> file included with
     the three-interface sample has the following policies:</para>
diff --git a/Shorewall-docs2/three-interface_fr.xml b/Shorewall-docs2/three-interface_fr.xml
index 9f9c3c230..0976eff89 100644
--- a/Shorewall-docs2/three-interface_fr.xml
+++ b/Shorewall-docs2/three-interface_fr.xml
@@ -1,7 +1,9 @@
 <?xml version="1.0" encoding="UTF-8"?>
 <!DOCTYPE article PUBLIC "-//OASIS//DTD DocBook XML V4.2//EN"
 "http://www.oasis-open.org/docbook/xml/4.2/docbookx.dtd">
-<article id="IPIP">
+<article id="three-interface">
+  <!--$Id$-->
+
   <articleinfo>
     <title>Three-Interface Firewall</title>
 
@@ -11,12 +13,24 @@
 
         <surname>Eastep</surname>
       </author>
+
+      <author>
+        <firstname>Patrice</firstname>
+
+        <surname>Vetsel</surname>
+      </author>
+
+      <author>
+        <firstname>Fabien</firstname>
+
+        <surname>Demassieux</surname>
+      </author>
     </authorgroup>
 
-    <pubdate>2003-12-20</pubdate>
+    <pubdate>2004-04-03</pubdate>
 
     <copyright>
-      <year>2001-2003</year>
+      <year>2002-2004</year>
 
       <holder>Thomas M. Eastep</holder>
     </copyright>
@@ -26,34 +40,35 @@
       document under the terms of the GNU Free Documentation License, Version
       1.2 or any later version published by the Free Software Foundation; with
       no Invariant Sections, with no Front-Cover, and with no Back-Cover
-      Texts. A copy of the license is included in the section entitled &#34;<ulink
-      url="GnuCopyright.htm">GNU Free Documentation License</ulink>&#34;.</para>
+      Texts. A copy of the license is included in the section entitled
+      <quote><ulink url="GnuCopyright.htm">GNU Free Documentation
+      License</ulink></quote>.</para>
     </legalnotice>
   </articleinfo>
 
   <note>
-    <para><emphasis role="underline">Notes du traducteur :</emphasis> Je ne
-    prétends pas être un vrai traducteur dans le sens ou mon travail n&#39;est
-    pas des plus précis (loin de là...). Je ne me suis pas attaché à une
-    traduction exacte du texte, mais plutôt à en faire une version française
-    intelligible par tous (et par moi). Les termes techniques sont la plupart
-    du temps conservés sous leur forme originale et mis entre parenthèses car
-    vous pouvez les retrouver dans le reste des documentations ainsi que dans
-    les fichiers de configuration. N&#39;hésitez pas à me contacter afin
-    d?améliorer ce document <ulink url="mailto:vetsel.patrice@wanadoo.fr">VETSEL
-    Patrice</ulink> (merci à JMM pour sa relecture et ses commentaires
-    pertinents, ainsi qu&#39;à Tom EASTEP pour son formidable outil et sa
-    disponibilité).</para>
+    <para><emphasis role="underline">Notes du traducteur :</emphasis> Le guide
+    initial a été traduit par <ulink
+    url="mailto:vetsel.patrice@wanadoo.fr">VETSEL Patrice</ulink> que je
+    remercie. J'en ai assuré la révision pour l'adapter à la version 2 de
+    Shorewall. J'espère vous faciliter l'accès et la prise en main d'un
+    firewall performant, efficace, adaptable et facile d'utilisation. Donc
+    félicitations pour la qualité du travail et la disponibilité offerte par
+    Thomas M. Eastep. Si vous trouvez des erreurs ou des améliorations à
+    apporter vous pouvez me contacter <ulink
+    url="mailto:fd03x@wanadoo.fr">Fabien Demassieux</ulink></para>
   </note>
 
-  <section id="Documentation">
+  <section>
     <title>Introduction</title>
 
     <para>Mettre en place un système Linux en tant que firewall pour un petit
     réseau contenant une DMZ est une chose assez simple, si vous comprenez les
-    bases et suivez la documentation. Ce guide ne veut pas vous apprendre tous
-    les rouages de Shorewall. Il se focalise sur ce qui est nécessaire pour
-    configurer Shorewall, dans son utilisation la plus courante :</para>
+    bases et suivez la documentation.</para>
+
+    <para>Ce guide ne veut pas vous apprendre tous les rouages de Shorewall.
+    Il se focalise sur ce qui est nécessaire pour configurer Shorewall, dans
+    son utilisation la plus courante :</para>
 
     <itemizedlist>
       <listitem>
@@ -63,439 +78,501 @@
 
       <listitem>
         <para>Une seule adresse IP publique.</para>
+
+        <note>
+          <para>Si vous avez plus d'une adresse IP, ce n'est pas le guide qui
+          vous convient -- regardez plutôt du coté du <ulink
+          url="shorewall_setup_guide_fr.htm">Guide de Configuration
+          Shorewall</ulink>.</para>
+        </note>
       </listitem>
 
       <listitem>
-        <para>Une DMZ connectée sur une interface Ethernet séparée.</para>
+        <para>Une DMZ (Zone démilitarisée) connectée sur une interface
+        Ethernet séparée.</para>
       </listitem>
 
       <listitem>
-        <para>Une connexion Internet par le biais d&#39;un modem câble, ADSL,
-        ISDN, &#34;Frame Relay&#34;, RTC ...</para>
+        <para>Une connexion Internet par le biais d'un modem câble, ADSL,
+        ISDN, "Frame Relay", RTC ...</para>
       </listitem>
     </itemizedlist>
 
-    <para>Voici un schéma d&#39;une installation typique.</para>
+    <para>Voici un schéma d'une installation typique.</para>
 
-    <graphic align="center" fileref="images/dmz1.png" />
+    <figure>
+      <title>Schéma d'une installation typique</title>
 
-    <para>Ce guide suppose que vous avez le paquet iproute/iproute2
-    d&#39;installé. Vous pouvez voir si le paquet est installé en vérifiant la
-    présence du programme ip sur votre système de firewall. Sous root,
-    utilisez la commande &#39;which&#39; pour rechercher le programme :</para>
+      <mediaobject>
+        <imageobject>
+          <imagedata align="center" fileref="images/dmz1.png" format="PNG" />
+        </imageobject>
+      </mediaobject>
+    </figure>
 
-    <programlisting>     [root@gateway root]# which ip
-     /sbin/ip
-     [root@gateway root]#
-</programlisting>
+    <section>
+      <title>Pré-requis</title>
 
-    <para>Je vous recommande dans un premier temps de parcourir tout le guide
-    pour vous familiariser avec ce qu&#39;il va se passer, et de revenir au
-    début en effectuant le changements dans votre configuration. Les points,
-    où les changements dans la configuration sont recommandées, sont signalés
-    par une <inlinegraphic fileref="images/BD21298_.gif" /></para>
+      <para>Shorewall a besoin que le package
+      <command>iproute</command>/<command>iproute2</command> soit installé
+      (avec la distribution <trademark>RedHat</trademark>, le package
+      s'appelle <command>iproute</command>). Vous pouvez vérifier si le
+      package est installé par la présence du programme <command>ip</command>
+      sur votre firewall. En tant que <systemitem
+      class="username">root</systemitem>, vous pouvez utiliser la commande
+      <command>which</command> pour cela:</para>
 
-    <caution>
-      <para>Si vous éditez vos fichiers de configuration sur un système
-      Windows, vous devez les sauver comme des fichiers Unix si votre éditeur
-      supporte cette option sinon vous devez les faire passer par dos2unix
-      avant d&#39;essayer de les utiliser. De la même manière, si vous copiez
-      un fichier de configuration depuis votre disque dur Windows vers une
-      disquette, vous devez lancer dos2unix sur la copie avant de
-      l&#39;utiliser avec Shorewall.</para>
+      <programlisting>[root@gateway root]# <command>which ip</command>
+/sbin/ip
+[root@gateway root]#</programlisting>
+    </section>
 
-      <itemizedlist>
-        <listitem>
-          <para><ulink url="http://www.simtel.net/pub/pd/51438.html">Windows
-          Version of dos2unix</ulink></para>
-        </listitem>
+    <section>
+      <title>Avant de commencer</title>
 
-        <listitem>
-          <para><ulink url="http://www.megaloman.com/%7Ehany/software/hd2u/">Linux
-          Version of dos2unix</ulink></para>
-        </listitem>
-      </itemizedlist>
-    </caution>
+      <para>Je recommande en premier la lecture complète du guide afin de se
+      familiariser avec les tenants et aboutissants puis de revenir sur les
+      modifications de votre configuration adapté à votre système.</para>
+
+      <caution>
+        <para>Si vous éditez vos fichiers de configuration sur un système
+        <trademark>Windows</trademark>, vous devez les sauver comme des
+        fichiers <trademark>Unix</trademark> si votre éditeur supporte cette
+        option sinon vous devez les convertir avec <command>dos2unix</command>
+        avant d'essayer de les utiliser. De la même manière, si vous copiez un
+        fichier de configuration depuis votre disque dur
+        <trademark>Windows</trademark> vers une disquette, vous devez lancer
+        <command>dos2unix</command> sur la copie avant de l'utiliser avec
+        Shorewall.<itemizedlist>
+            <listitem>
+              <para><ulink
+              url="http://www.simtel.net/pub/pd/51438.html"><trademark>Windows</trademark>
+              Version of <command>dos2unix</command></ulink></para>
+            </listitem>
+
+            <listitem>
+              <para><ulink
+              url="http://www.megaloman.com/%7Ehany/software/hd2u/">Linux
+              Version of <command>dos2unix</command></ulink></para>
+            </listitem>
+          </itemizedlist></para>
+      </caution>
+    </section>
+
+    <section>
+      <title>Conventions</title>
+
+      <para>Les points ou les modifications s'imposent sont indiqués par
+      <inlinegraphic fileref="images/BD21298_.gif" format="GIF" />.</para>
+
+      <para>Les notes de configuration qui sont propres à LEAF/Bering sont
+      marqués avec <inlinegraphic fileref="images/leaflogo.gif"
+      format="GIF" />.</para>
+    </section>
+  </section>
+
+  <section>
+    <title>PPTP/ADSL</title>
+
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
+
+    <para>Si vous êtes équipé d'un modem <acronym>ADSL</acronym> et utilisez
+    <acronym>PPTP</acronym> pour communiquer avec un serveur à travers ce
+    modem, vous devez faire le changement <ulink
+    url="PPTP.htm#PPTP_ADSL">suivant</ulink> en plus de ceux ci-dessous.
+    <acronym>ADSL</acronym> avec <acronym>PPTP</acronym> est commun en Europe,
+    ainsi qu'en Australie.</para>
   </section>
 
   <section>
     <title>Les Concepts de Shorewall</title>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" />Les fichiers de
-    configuration pour Shorewall sont situés dans le répertoire /etc/shorewall
-    -- pour de simples paramétrages, vous n&#39;avez à faire qu&#39;avec
-    quelques un d&#39;entre eux comme décris dans ce guide. Après avoir <ulink
-    url="Install.htm">installé Shorewall</ulink>, <emphasis role="bold">téléchargez
-    <ulink url="http://www1.shorewall.net/pub/shorewall/Samples/">le
-    two-interface sample</ulink>, un-tarez le (tar -zxvf two-interface.tgz) et
-    copiez les fichiers vers /etc/shorewall (Ils remplaceront les fichiers de
-    même nom déjà existant dans /etc/shorewall installés lors de
-    l&#39;installation de Shorewall)</emphasis>.</para>
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
 
-    <para>Parallèlement à la description, je vous suggère de jeter un oeil à
-    ceux physiquement présents sur votre système -- chacun des fichiers
+    <para>Les fichiers de configuration pour Shorewall sont situés dans le
+    répertoire /etc/shorewall -- pour de simples paramétrages, vous n'avez à
+    faire qu'avec quelques un d'entre eux comme décris dans ce guide.<tip>
+        <para>Après avoir <ulink url="Install.htm">installé Shorewall</ulink>,
+        téléchargez <ulink
+        url="http://www1.shorewall.net/pub/shorewall/Samples/">l'exemple
+        three-interface</ulink>, décompressez le (<command>tar
+        <option>-zxvf</option>
+        <filename>two-interfaces.tgz</filename></command>) et copiez les
+        fichiers dans <filename class="directory">/etc/shorewall</filename>
+        <emphasis role="bold">(ces fichiers remplaceront les
+        initiaux)</emphasis>.</para>
+      </tip>Parallèlement à la présentation, je vous suggère de jeter un oeil
+    à ceux physiquement présents sur votre système -- chacun des fichiers
     contient des instructions de configuration détaillées et des entrées par
     défaut.</para>
 
-    <para>Shorewall voit le réseau où il tourne comme composé par un ensemble
-    de zones. Dans les fichiers de configuration fournis pour trois
-    interfaces, trois zones sont définies :</para>
+    <para>Shorewall voit le réseau où il fonctionne, comme un ensemble de
+    zones. Dans une configuration avec trois interfaces, les noms des zones
+    suivantes sont utilisés:</para>
 
-    <table>
-      <title>Zones</title>
-
-      <tgroup cols="2">
-        <tbody>
+    <informaltable>
+      <tgroup align="left" cols="2">
+        <thead valign="middle">
           <row>
-            <entry align="left"><emphasis role="bold">ZONE</emphasis></entry>
+            <entry align="center">Name</entry>
 
-            <entry align="left" role="underline"><emphasis role="bold">Description</emphasis></entry>
+            <entry align="center">Description</entry>
           </row>
+        </thead>
 
+        <tbody>
           <row>
             <entry>net</entry>
 
-            <entry>Internet</entry>
+            <entry>The Internet</entry>
           </row>
 
           <row>
             <entry>loc</entry>
 
-            <entry>Votre réseau local</entry>
+            <entry>Your Local Network</entry>
           </row>
 
           <row>
             <entry>dmz</entry>
 
-            <entry>Zone Demilitarisée</entry>
+            <entry>Demilitarized Zone</entry>
           </row>
         </tbody>
       </tgroup>
-    </table>
+    </informaltable>
 
-    <para>Les zones de Shorewall sont définies dans /etc/shorewall/zones.</para>
+    <para>Les zones de Shorewall sont définies dans le fichier <ulink
+    url="Documentation.htm#Zones"><filename
+    class="directory">/etc/shorewall/</filename><filename>zones</filename></ulink>.</para>
 
     <para>Shorewall reconnaît aussi le système de firewall comme sa propre
-    zone - par défaut, le firewall est connu comme fw. Les règles à propos de
-    quel trafic autoriser, et de quel trafic interdire sont exprimées en terme
-    de zones.</para>
+    zone - par défaut, le firewall est connu comme <emphasis
+    role="bold"><varname>fw</varname></emphasis>.</para>
+
+    <para>Les règles à propos du trafic à autoriser et à interdire sont
+    exprimées en terme de zones.</para>
 
     <itemizedlist>
       <listitem>
         <para>Vous exprimez votre politique par défaut pour les connexions
-        d&#39;une zone vers une autre zone dans le fichier <ulink
-        url="Documentation.htm#Policy">/etc/shorewall/policy</ulink> .</para>
+        d'une zone vers une autre zone dans le fichier <ulink
+        url="Documentation.htm#Policy"><filename
+        class="directory">/etc/shorewall/</filename><filename>policy</filename></ulink>.</para>
       </listitem>
 
       <listitem>
         <para>Vous définissez les exceptions à ces politiques pas défaut dans
-        le fichier <ulink url="Documentation.htm#Rules">/etc/shorewall/rules</ulink>.</para>
+        le fichier <ulink url="Documentation.htm#Rules"><filename
+        class="directory">/etc/shorewall/</filename><filename>rules</filename></ulink>.</para>
       </listitem>
     </itemizedlist>
 
-    <para>Pour chacune des demandes de connexion entrantes dans le firewall,
-    les demandes sont en premier lieu comparées par rapport au fichier
-    /etc/shorewall/rules. Si aucune des règles dans ce fichier ne
-    correspondent, alors la première politique dans /etc/shorewall/policy qui
-    y correspond est appliquée. Si cette politique est REJECT ou DROP la
-    requête est alors comparée par rapport aux règles contenues dans
-    /etc/shorewall/common (l&#39;archive d&#39;exemple vous fournit ce
-    fichier).</para>
+    <para>Pour chaque connexion demandant à entrer dans le firewall, la
+    requête est en premier lieu comparée par rapport au fichier <filename
+    class="directory">/etc/shorewall/</filename><filename>rules</filename>. Si
+    aucune règle dans ce fichier ne correspond à la demande de connexion alors
+    la première politique dans le fichier <filename
+    class="directory">/etc/shorewall/</filename><filename>policy</filename>
+    qui y correspond sera appliquée. Si cette politique est
+    <varname>REJECT</varname> ou <varname>DROP</varname> la requête est dans
+    un premier temps comparée par rapport aux règles contenues dans le fichier
+    <filename
+    class="directory">/etc/shorewall/</filename><filename>common</filename>,
+    si ce fichier existe; sinon les régles dans le fichier <filename
+    class="directory">/etc/shorewall/</filename><filename>common.def</filename>
+    sont vérifiées.</para>
 
-    <para>Le fichier /etc/shorewall/policy d&#39;exemple contenu dans
-    l&#39;archive three-interface sample a les politiques suivantes :</para>
+    <para>Le fichier /etc/shorewall/policy inclus dans l'archive d'exemple
+    (three-interface) contient les politiques suivantes:</para>
 
-    <table>
-      <title>/etc/shorewall/policy</title>
+    <programlisting>#SOURCE    DEST        POLICY      LOG LEVEL    LIMIT:BURST
+loc        net         ACCEPT
+net        all         DROP        info
+all        all         REJECT      info</programlisting>
 
-      <tgroup cols="5">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">SOURCE ZONE</emphasis></entry>
+    <important>
+      <para>Dans le fichier d'exemple (three-interface), la ligne suivante est
+      incluse mais elle est commentée. Si vous voulez que votre firewall
+      puisse avoir un accès complet aux serveurs sur Internet, décommentez la
+      ligne.</para>
 
-            <entry><emphasis role="bold">DESTINATION ZONE</emphasis></entry>
+      <programlisting>#SOURCE    DEST        POLICY      LOG LEVEL    LIMIT:BURST
+fw         net         ACCEPT</programlisting>
+    </important>
 
-            <entry><emphasis role="bold">POLICY</emphasis></entry>
+    <para>Les politiques précédentes vont: <itemizedlist>
+        <listitem>
+          <para>Permettre toutes demandes de connexion depuis votre réseau
+          local vers Internet</para>
+        </listitem>
 
-            <entry><emphasis role="bold">LOG LEVEL</emphasis></entry>
+        <listitem>
+          <para>Drop (ignorer) toutes les demandes de connexion depuis
+          l'Internet vers votre firewall ou votre réseau local</para>
+        </listitem>
 
-            <entry><emphasis role="bold">LIMIT:BURST</emphasis></entry>
-          </row>
+        <listitem>
+          <para>Accept (accepter) facultativement toutes les demandes de
+          connexion de votre firewall vers l'Internet (si vous avez décommenté
+          la politique additionnelle)</para>
+        </listitem>
 
-          <row>
-            <entry>fw</entry>
+        <listitem>
+          <para>Reject (rejeter) toutes les autres requêtes de
+          connexion.</para>
+        </listitem>
+      </itemizedlist></para>
 
-            <entry>net</entry>
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
 
-            <entry>ACCEPT</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-
-          <row>
-            <entry>net</entry>
-
-            <entry>all</entry>
-
-            <entry>DROP</entry>
-
-            <entry>info</entry>
-
-            <entry></entry>
-          </row>
-
-          <row>
-            <entry>all</entry>
-
-            <entry>all</entry>
-
-            <entry>REJECT</entry>
-
-            <entry>info</entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para>Dans l&#39;archive three-interface, la ligne suivante est existante
-    mais elle est commentée. Si vous souhaitez que votre système de firewall
-    puisse avoir un accès complet aux serveurs sur Internet, décommentez la.</para>
-
-    <table>
-      <title>/etc/shorewall/policy</title>
-
-      <tgroup cols="5">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">SOURCE ZONE</emphasis></entry>
-
-            <entry><emphasis role="bold">DESTINATION ZONE</emphasis></entry>
-
-            <entry><emphasis role="bold">POLICY</emphasis></entry>
-
-            <entry><emphasis role="bold">LOG LEVEL</emphasis></entry>
-
-            <entry><emphasis role="bold">LIMIT:BURST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>fw</entry>
-
-            <entry>net</entry>
-
-            <entry>accept</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para>Ces politiques vont :</para>
-
-    <orderedlist>
-      <listitem>
-        <para>permettre toutes demandes de connexion depuis le firewall vers
-        l&#39;Internet</para>
-      </listitem>
-
-      <listitem>
-        <para>drop (ignorer) toutes les demandes de connexion depuis
-        l&#39;Internet vers votre firewall</para>
-      </listitem>
-
-      <listitem>
-        <para>Facultativement accepter toutes les demandes de connexion de
-        votre firewall vers l&#39;Internet (si vous avez dé commenté la
-        politique additionnelle)</para>
-      </listitem>
-
-      <listitem>
-        <para>rejeter toutes les autres requêtes de connexion (Shorewall à
-        besoin de cette politique).</para>
-      </listitem>
-    </orderedlist>
-
-    <para><inlinegraphic fileref="images/BD21298_.gif" />A ce point, éditez
-    votre /etc/shorewall/policy et faites y les changements que vous désirez.</para>
+    <para>Maintenant, editez votre propre fichier <filename><filename
+    class="directory">/etc/shorewall/</filename><filename>policy</filename></filename>
+    et apportez les modifications et ajouter ce que vous voulez.</para>
   </section>
 
   <section>
     <title>Les Interfaces Réseau</title>
 
-    <graphic align="center" fileref="images/dmz1.png" />
+    <figure>
+      <title>DMZ</title>
+
+      <mediaobject>
+        <imageobject>
+          <imagedata align="center" fileref="images/dmz1.png" format="PNG" />
+        </imageobject>
+      </mediaobject>
+    </figure>
 
     <para>Le firewall a trois interfaces de réseau. Lorsque la connexion
     Internet passe par le câble ou par un ROUTEUR (pas un simple modem) ADSL
-    (non USB), l&#39;interface vers l&#39;extérieur (External Interface) sera
-    l&#39;adaptateur sur lequel est connecté le routeur (e.g., eth0) à moins
-    que vous ne vous connectiez par Point-to-PointProtocol overEthernet
-    (PPPoE) ou par Point-to-PointTunneling Protocol (PPTP), dans ce cas
-    l&#39;interface extérieure sera une interface de type ppp (e.g., ppp0). Si
-    vous vous connectez par un simple modem (RTC), votre interface extérieure
-    sera aussi ppp0. Si votre connexion passe par Numéris (ISDN), votre
-    interface extérieure sera ippp0.</para>
+    (non USB) <quote>Modem</quote>, l'interface vers l'extérieur (External
+    Interface) sera l'adaptateur sur lequel est connecté le routeur
+    <quote>Modem</quote> (e.g., <filename class="devicefile">eth0</filename>)
+    à moins que vous ne vous connectiez par <emphasis>Point-to-Point
+    Protocol</emphasis> over Ethernet (PPPoE) ou par <emphasis>Point-to-Point
+    Tunneling Protocol</emphasis> (PPTP),dans ce cas l'interface extérieure
+    sera une interface de type ppp (e.g., <filename
+    class="devicefile">ppp0</filename>). Si vous vous connectez par un simple
+    modem (RTC), votre interface extérieure sera aussi ppp0. Si votre
+    connexion passe par Numéris (ISDN), votre interface extérieure sera
+    <filename class="devicefile">ippp0</filename>.</para>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" />Si votre interface
-    vers l&#39;extérieur est ppp0 ou ippp0 alors vous mettrez CLAMPMSS=yes
-    dans <ulink url="Documentation.htm#Config">/etc/shorewall/shorewall.conf</ulink>.</para>
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
 
-    <para>Votre<emphasis> Interface locale</emphasis> sera un adaptateur
-    Ethernet (<emphasis role="bold">eth0</emphasis>, <emphasis role="bold">eth1</emphasis>
-    ou <emphasis role="bold">eth2</emphasis>) et sera connecté à un hub ou un
+    <para>Si votre interface vers l'extérieur est <filename
+    class="devicefile">ppp0</filename> ou <filename
+    class="devicefile">ippp0</filename> alors vous mettrez CLAMPMSS=yes dans
+    le fichier <filename>/etc/shorewall/shorewall.conf</filename>.</para>
+
+    <para>Votre <emphasis>Interface locale</emphasis> sera un adaptateur
+    Ethernet (<filename class="devicefile">eth0</filename>, <filename
+    class="devicefile">eth1</filename> or <filename
+    class="devicefile">eth2</filename>) et sera connecté à un hub ou un
     switch. Vos ordinateurs locaux seront connectés à ce même switch (note :
-    si vous n&#39;avez qu&#39;un seul ordinateur en local, vous pouvez le
-    connecter directement au firewall par un câble croisé).</para>
+    si vous n'avez qu'un seul ordinateur en local, vous pouvez le connecter
+    directement au firewall par un câble croisé).</para>
 
     <para>Votre <emphasis>interface DMZ</emphasis> sera aussi un adaptateur
-    Ethernet (<emphasis role="bold">eth0</emphasis>, <emphasis role="bold">eth1</emphasis>
-    ou <emphasis role="bold">eth2</emphasis>) et sera connecté à un hub ou un
+    Ethernet (<filename class="devicefile">eth0</filename>, <filename
+    class="devicefile">eth1</filename> or <filename
+    class="devicefile">eth2</filename>) et sera connecté à un hub ou un
     switch. Vos ordinateurs appartenant à la DMZ seront connectés à ce même
-    switch (note : si vous n&#39;avez qu&#39;un seul ordinateur dans la DMZ,
-    vous pouvez le connecter directement au firewall par un câble croisé).</para>
+    switch (note : si vous n'avez qu'un seul ordinateur dans la DMZ, vous
+    pouvez le connecter directement au firewall par un câble croisé).</para>
 
     <caution>
-      <para>Ne connectez pas l&#39;interface interne et externe sur le même
-      hub ou switch (même pour tester). Cela ne fonctionnera pas et ne croyez
-      pas que ce soit shorewall qui ne marche pas.</para>
+      <para>Ne connectez pas l'interface interne et externe sur le même hub ou
+      switch, sauf pour tester avec une version postérieure à Shorewall 1.4.7.
+      Quand vous utilisez ces versions récentes, vous pouvez tester ce type de
+      configuration si vous spécifiez l'option arp_filter dans le fichier
+      <filename
+      class="directory">/etc/shorewall/</filename><filename>interfaces</filename>
+      pour toutes les interfaces connectées au hub/switch commun. Utiliser une
+      telle configuration avec un firewall en production est fortement
+      déconseillé.</para>
     </caution>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" />L&#39;exemple de
-    configuration de Shorewall pour trois interfaces suppose que
-    l&#39;interface externe est eth0, l&#39;interface locale est eth1 et que
-    la DMZ est sur l&#39;interface eth2. Si votre configuration diffère, vous
-    devrez modifier le fichier d&#39;exemple /etc/shorewall/interfaces en
-    conséquence. Tant que vous y êtes, vous pourriez parcourir la liste des
-    options qui sont spécifiées pour les interfaces. Quelques trucs :</para>
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
 
-    <itemizedlist>
-      <listitem>
-        <para>Si votre interface vers l&#39;extérieur est <emphasis
-        role="bold">ppp0</emphasis> ou <emphasis role="bold">ippp0</emphasis>,
-        vous pouvez remplacer le &#34;detect&#34; dans la seconde colonne par
-        un &#34;-&#34;.</para>
-      </listitem>
+    <para>L'exemple de configuration de Shorewall pour trois interfaces
+    suppose que l'interface externe est <filename
+    class="devicefile">eth0</filename>, l'interface locale est <filename
+    class="devicefile">eth1</filename> et que la DMZ est sur l'interface
+    <filename class="devicefile">eth2</filename>. Si votre configuration
+    diffère, vous devrez modifier le fichier d'exemple
+    <filename>/etc/shorewall/interfaces</filename> en conséquence. Tant que
+    vous y êtes, vous pourriez parcourir la liste des options qui sont
+    spécifiées pour les interfaces. Quelques trucs :</para>
 
-      <listitem>
-        <para>Si votre interface vers l&#39;extérieur est <emphasis
-        role="bold">ppp0</emphasis> ou <emphasis role="bold">ippp0</emphasis>
-        ou si vous avez une adresse IP statique, vous pouvez enlever
-        &#34;dhcp&#34; dans la liste des options.</para>
-      </listitem>
-    </itemizedlist>
+    <tip>
+      <para>Si votre interface vers l'extérieur est <filename
+      class="devicefile">ppp0</filename> ou <filename
+      class="devicefile">ippp0</filename>, vous pouvez remplacer le
+      <varname>detect</varname> dans la seconde colonne par un
+      <quote>-</quote> (sans les quotes).</para>
+    </tip>
+
+    <tip>
+      <para>Si votre interface vers l'extérieur est <filename
+      class="devicefile">ppp0</filename> or <filename
+      class="devicefile">ippp0</filename> u si vous avez une adresse
+      <acronym>IP</acronym> statique, vous pouvez enlever
+      <varname>dhcp</varname> dans la liste des options .</para>
+    </tip>
+
+    <tip>
+      <para>Si votre interface est un bridge utilisant l'utilitaire
+      <command>brctl</command> alors vous devez ajouter l'option
+      <varname>routeback</varname> à la liste des options.</para>
+    </tip>
+
+    <tip>
+      <para>Si vous spécifiez <emphasis>norfc1918</emphasis> pour votre
+      interface externe, vous pouvez vérifier périodiquement le <ulink
+      url="errata.htm">Shorewall Errata</ulink> pour mettre à jour le fichier
+      <filename>/usr/share/shorewall/rfc1918</filename>. Sinon, vous pouvez
+      copier le fichier <filename>/usr/share/shorewall/rfc1918</filename> vers
+      <filename>/etc/shorewall/rfc1918</filename> et <ulink
+      url="myfiles.htm#RFC1918">adapter votre fichier
+      <filename>/etc/shorewall/rfc1918</filename> comme je le
+      fais</ulink>.</para>
+    </tip>
   </section>
 
   <section>
     <title>Adresses IP</title>
 
-    <para>Avant d&#39;aller plus loin, nous devons dire quelques mots au sujet
-    du Protocole d&#39;adresse Internet (IP). Normalement, votre fournisseur
-    Internet (ISP) vous assignera une seule adresse IP (single Public IP
-    address). Cette adresse peut être assignée par le Dynamic Host
-    Configuration Protocol (DHCP) ou lors de l&#39;établissement de votre
-    connexion lorsque vous vous connectez (modem standard) ou établissez votre
-    connexion PPP. Dans de rares cas , votre provider peu vous assigner une
-    adresse statique (staticIP address); cela signifie que vous configurez
-    votre interface externe sur votre firewall afin d&#39;utiliser cette
-    adresse de manière permanente. Une fois votre adresse externe assignée,
-    elle va être partagée par tout vos systèmes lors de l&#39;accès à
-    Internet. Vous devrez assigner vos propres adresses à votre réseau local
-    (votre interface interne sur le firewall ainsi que les autres
-    ordinateurs). La RFC 1918 réserve plusieurs plages d&#39;IP (Private IP
-    address ranges) à cette fin :</para>
+    <para>Avant d'aller plus loin, nous devons dire quelques mots au sujet des
+    adresses Internet Protocol (<acronym>IP</acronym>). Normalement, votre
+    fournisseur Internet <acronym>ISP</acronym> vous assignera une seule
+    adresse IP. Cette adresse peut être assignée par le Dynamic Host
+    Configuration Protocol (<acronym>DHCP</acronym>) ou lors de
+    l'établissement de votre connexion lorsque vous vous connectez (modem
+    standard) ou établissez votre connexion <acronym>PPP</acronym>. Dans de
+    rares cas , votre provider peut vous assigner une adresse statique
+    <acronym>IP</acronym> ; cela signifie que vous devez configurer
+    l'interface externe de votre firewall afin d'utiliser cette adresse de
+    manière permanente. Votre adresse externe assignée, elle va être partagée
+    par tous vos systèmes lors de l'accès à Internet. Vous devrez assigner vos
+    propres adresses dans votre réseau local (votre interface interne sur le
+    firewall ainsi que les autres ordinateurs). La <emphasis role="bold">RFC
+    1918</emphasis> réserve plusieurs plages d'adresses privées
+    <emphasis>Private</emphasis> <acronym>IP</acronym> à cet fin:</para>
 
-    <programlisting>     10.0.0.0    - 10.255.255.255
-     172.16.0.0  - 172.31.255.255
-     192.168.0.0 - 192.168.255.255</programlisting>
+    <programlisting>10.0.0.0    - 10.255.255.255
+172.16.0.0  - 172.31.255.255
+192.168.0.0 - 192.168.255.255</programlisting>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> Avant de lancer
-    Shorewall, vous devriez regarder l&#39;adresse de votre interface externe
-    et si elle est comprise dans une des plages précédentes, vous devriez
-    enlever l&#39;option &#39;norfc1918&#39; dans le fichier
-    /etc/shorewall/interfaces.</para>
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
 
-    <para>Vous devrez assigner les adresses locales à un sous-réseau
-    (sub-network ou subnet) et les adresse pour la DMZ à un autre sous-réseau.
-    Pour ce faire, nous pouvons considérer qu&#39;un sous-réseau consiste en
-    une plage d&#39;adresse x.y.z.0 à x.y.z.255. Chacun des sous-réseaux
-    possèdera une masque (Subnet Mask) de 255.255.255.0. L&#39;adresse x.y.z.0
-    est réservée comme l&#39;adresse du sous-réseau (Subnet Address) et
-    x.y.z.255 est réservée en tant qu&#39;adresse de broadcast du sous-réseau
-    (Subnet Broadcast Address). Sous Shorewall, un sous-réseau est
-    décrit/désigné en utilisant <ulink url="shorewall_setup_guide.htm#Subnets">la
-    notation Classless InterDomain Routing (CIDR)</ulink> qui consiste en
-    l&#39;adresse du sous-réseau suivie par &#34;/24&#34;. Le &#34;24&#34; se
-    réfère au nombre de bits &#34;1&#34; consécutifs dans la partie gauche du
-    masque de sous-réseau.</para>
+    <para>Avant de lancer Shorewall, regarder l'adresse IP de votre interface
+    externe, et si elle est dans les plages précédentes, vous devez enlever
+    l'option 'norfc1918' dans la ligne concernant l'interface externe dans le
+    fichier <filename
+    class="directory">/etc/shorewall/</filename><filename>interfaces</filename>.</para>
+
+    <para>Vous devrez assigner vos adresses depuis le même sous-réseau
+    (sub-network-subnet). Pour ce faire, nous pouvons considérer un
+    sous-réseau dans une plage d'adresses <varname>x.y.z.0 -
+    x.y.z.255</varname>. Chaque sous-réseau aura un masque (Subnet Mask)
+    <systemitem class="netmask">255.255.255.0</systemitem>. L'adresse
+    <varname>x.y.z.0</varname> est réservée comme l'adresse de sous-réseau
+    <emphasis>Subnet Address</emphasis> et <varname>x.y.z.255</varname> est
+    réservée en tant qu'adresse de broadcast <emphasis>Subnet Broadcast
+    Address</emphasis>. Dans Shorewall, un sous-réseau est décrit en utilisant
+    <ulink url="shorewall_setup_guide.htm#Subnets">Classless InterDomain
+    Routing (CIDR) notation</ulink> Il consiste en l'adresse du sous-réseau
+    suivie par<varname>/24</varname>. Le <quote>24</quote> se réfère au nombre
+    consécutif de bits marquant <quote>1</quote> dans la partie gauche du
+    masque de sous-réseau. </para>
 
     <table>
       <title>Un exemple de sous-réseau (sub-network) :</title>
 
       <tgroup cols="2">
+        <colspec align="left" />
+
         <tbody>
           <row>
-            <entry><emphasis role="bold">Plage:</emphasis></entry>
+            <entry>Range:</entry>
 
-            <entry>10.10.10.0 - 10.10.10.255</entry>
+            <entry><systemitem class="ipaddress">10.10.10.0</systemitem> -
+            <systemitem class="ipaddress">10.10.10.255</systemitem></entry>
           </row>
 
           <row>
-            <entry><emphasis role="bold">Subnet Address:</emphasis></entry>
+            <entry>Subnet Address:</entry>
 
-            <entry>10.10.10.0</entry>
+            <entry><systemitem
+            class="ipaddress">10.10.10.0</systemitem></entry>
           </row>
 
           <row>
-            <entry><emphasis role="bold">Broadcast Address:</emphasis></entry>
+            <entry>Broadcast Address:</entry>
 
-            <entry>10.10.10.255</entry>
+            <entry><systemitem
+            class="ipaddress">10.10.10.255</systemitem></entry>
           </row>
 
           <row>
-            <entry><emphasis role="bold">CIDR Notation:</emphasis></entry>
+            <entry>CIDR Notation:</entry>
 
-            <entry>10.10.10.0/24</entry>
+            <entry><systemitem
+            class="ipaddress">10.10.10.0/24</systemitem></entry>
           </row>
         </tbody>
       </tgroup>
     </table>
 
-    <para>Il est de convention d&#39;assigner à l&#39;interface interne la
-    première adresse utilisable dans le sous-réseau (10.10.10.1 dans
-    l&#39;exemple précédent) ou la dernière utilisable (10.10.10.254).
-    L&#39;un des buts d&#39;un sous-réseau est de permettre à tous les
+    <para>Il est de mise d'assigner l'interface interne à la première adresse
+    utilisable du sous-réseau (<systemitem
+    class="ipaddress">10.10.10.1</systemitem> dans l'exemple précédent) ou la
+    dernière adresse utilisable (<systemitem
+    class="ipaddress">10.10.10.254</systemitem>).</para>
+
+    <para>L'un des buts d'un sous-réseau est de permettre à tous les
     ordinateurs dans le sous-réseau de savoir avec quels autres ordinateurs
     ils peuvent communiquer directement. Pour communiquer avec des systèmes en
     dehors du sous-réseau, les ordinateurs envoient des paquets à travers le
     gateway (routeur).</para>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> Vos ordinateurs
-    locaux (ordinateur local 1 et 2) devraient être configurés avec leur
-    passerelle par défaut (default gateway)pointant sur l&#39;adresse IP de
-    l&#39;interface interne du firewall, et les ordinateurs de la DMZ
-    devraient être configurés avec leur passerelle par défaut (default
-    gateway) pointant sur l&#39;adresse IP de l&#39;interface DMZ du firewall.</para>
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
 
-    <para>Cette courte description ne fait que survoler les concepts de
-    routage et de sous-réseau. Si vous vous voulez en apprendre plus sur
-    l&#39;adressage IP et le routage, je vous recommande chaudement &#34;IP
-    Fundamentals: What Everyone Needs to Know about Addressing &#38;
-    Routing&#34;, Thomas A. Maufer, Prentice-Hall, 1999, ISBN 0-13-975483-0.</para>
+    <para>Vos ordinateurs en local (ordinateur 1 et ordinateur 2 dans le
+    diagramme) devraient être configurés avec leur passerelle par défaut
+    (default gateway) pointant sur l'adresse <acronym>IP</acronym> de
+    l'interface interne du firewall.</para>
 
-    <para>Pour rappel, ce guide supposera que vous avez configuré votre réseau
-    comme montrer ci-dessous :</para>
+    <para>La présentation précédente ne fait que d'effleurer la question des
+    sous réseaux et du routage. Si vous êtes intéressé pour apprendre plus sur
+    l'adressage <acronym>IP</acronym> et le routage, je recommande <quote>IP
+    Fundamentals: What Everyone Needs to Know about Addressing &amp;
+    Routing</quote>, Thomas A. Maufer, Prentice-Hall, 1999, ISBN 0-13-975483-0
+    (<ulink
+    url="http://www.phptr.com/browse/product.asp?product_id={58D4F6D4-54C5-48BA-8EDD-86EBD7A42AF6}">link</ulink>).</para>
 
-    <graphic align="center" fileref="images/dmz2.png" />
+    <para>Le reste de ce guide assumera que vous avez configuré votre réseau
+    comme montré ci-dessous :</para>
+
+    <figure>
+      <title>DMZ</title>
+
+      <graphic align="center" fileref="images/dmz2.png" />
+    </figure>
 
     <para>La passerelle par défaut (default gateway) pour les ordinateurs de
-    la DMZ sera 10.10.11.254 et le passerelle par défaut pour les ordinateurs
-    en local sera 10.10.10.254.</para>
+    la DMZ sera <systemitem class="ipaddress">10.10.11.254</systemitem> et le
+    passerelle par défaut pour les ordinateurs en local sera <systemitem
+    class="ipaddress">10.10.10.254</systemitem></para>
+
+    <warning>
+      <para>Votre <acronym>FAI</acronym> (fournisseur d'accés) pourrait
+      assigner une adresse <emphasis role="bold">RFC 1918</emphasis> à votre
+      interface externe. Si cette adresse est le sous-réseau <systemitem
+      class="ipaddress">10.10.10.0/24</systemitem> alors vous aurez besoin
+      d'un sous-réseau DIFFERENT RFC 1918 pour votre réseau local.</para>
+    </warning>
   </section>
 
   <section>
@@ -504,70 +581,88 @@
     <para>Les adresses réservées par la RFC 1918 sont parfois désignées comme
     non-routables car les routeurs Internet (backbone) ne font pas circuler
     les paquets qui ont une adresse de destination appartenant à la RFC-1918.
-    Lorsqu&#39;un de vos systèmes en local (supposons l&#39;ordinateur1)
-    demande une connexion à un serveur par Internet, le firewall doit
-    appliquer un NAT (Network Address Translation). Le firewall ré écrit
-    l&#39;adresse source dans le paquet, et l&#39;a remplace par l&#39;adresse
-    de l&#39;interface externe du firewall; en d&#39;autres mots, le firewall
-    fait croire que c&#39;est lui même qui initie la connexion. Ceci est
-    nécessaire afin que l&#39;hôte de destination soit capable de renvoyer les
+    Lorsqu'un de vos systèmes en local (supposons l'ordinateur1) demande une
+    connexion à un serveur par Internet, le firewall doit appliquer un
+    <emphasis>Network Address Translation</emphasis> (<acronym>NAT</acronym>).
+    Le firewall réécrit l'adresse source dans le paquet, et l'a remplacé par
+    l'adresse de l'interface externe du firewall; en d'autres mots, le
+    firewall fait croire que c'est lui même qui initie la connexion. Ceci est
+    nécessaire afin que l'hôte de destination soit capable de renvoyer les
     paquets au firewall (souvenez vous que les paquets qui ont pour adresse de
     destination, une adresse réservée par la RFC 1918 ne pourront pas être
-    routés à travers Internet, donc l&#39;hôte Internet ne pourra adresser sa
-    réponse à l&#39;ordinateur 1). Lorsque le firewall reçoit le paquet de
-    réponse, il remet l&#39;adresse de destination à 10.10.10.1 et fait passer
-    le paquet vers l&#39;ordinateur 1.</para>
+    routés à travers Internet, donc l'hôte Internet ne pourra adresser sa
+    réponse à l'ordinateur 1). Lorsque le firewall reçoit le paquet de
+    réponse, il remet l'adresse de destination à <systemitem
+    class="ipaddress">10.10.10.1</systemitem> et fait passer le paquet vers
+    l'ordinateur 1.</para>
 
-    <para>Sur les systèmes Linux, ce procédé est souvent appelé de l&#39;IP
-    Masquerading mais vous verrez aussi le terme de Source Network Address
-    Translation (SNAT) utilisé. Shorewall suit la convention utilisée avec
-    Netfilter :</para>
+    <para>Sur les systèmes Linux, ce procédé est souvent appelé <emphasis>IP
+    Masquerading</emphasis> mais vous verrez aussi le terme de
+    <emphasis>Source Network Address Translation</emphasis>
+    (<acronym>SNAT</acronym>). Shorewall suit la convention utilisée avec
+    Netfilter:<itemizedlist>
+        <listitem>
+          <para><emphasis>Masquerade</emphasis> désigne le cas ou vous laissez
+          votre firewall détecter automatiquement l'adresse de l'interface
+          externe.</para>
+        </listitem>
 
-    <itemizedlist>
-      <listitem>
-        <para><emphasis>Masquerade</emphasis> désigne le cas ou vous laissez
-        votre firewall détecter automatiquement l&#39;adresse de
-        l&#39;interface externe.</para>
-      </listitem>
+        <listitem>
+          <para><emphasis><acronym>SNAT</acronym></emphasis> désigne le cas où
+          vous spécifiez explicitement l'adresse source des paquets sortant de
+          votre réseau local.</para>
+        </listitem>
+      </itemizedlist>Sous Shorewall, autant le
+    <emphasis>Masquerading</emphasis> et le
+    <emphasis><acronym>SNAT</acronym></emphasis> sont configuré avec des
+    entrés dans le fichier <filename
+    class="directory">/etc/shorewall/</filename><filename>masq</filename>.
+    Vous utiliserez normalement le Masquerading si votre adresse
+    <acronym>IP</acronym> externe i est dynamique, et <acronym>SNAT</acronym>
+    si l'adresse <acronym>IP</acronym> est statique.</para>
 
-      <listitem>
-        <para><emphasis>SNAT</emphasis> désigne le cas où vous spécifiez
-        explicitement l&#39;adresse source des paquets sortant de votre réseau
-        local.</para>
-      </listitem>
-    </itemizedlist>
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
 
-    <para>Sous Shorewall, autant le Masquerading que le SNAT sont configuré
-    avec des entrés dans le fichier <ulink url="Documentation.htm#Masq">/etc/shorewall/masq</ulink>.</para>
+    <para>Si votre interface externe est <filename
+    class="devicefile">eth0</filename>, votre interface locale <filename
+    class="devicefile">eth1</filename> et votre interface pour la DMZ
+    <filename class="devicefile">eth2</filename> vous n'avez pas besoin de
+    modifier le fichier fourni avec l'exemple. Dans le cas contraire, éditez
+    <filename
+    class="directory">/etc/shorewall/</filename><filename>masq</filename> et
+    changez le en conséquence.</para>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> Si votre interface
-    externe est <emphasis role="bold">eth0</emphasis>, votre interface locale
-    <emphasis role="bold">eth1</emphasis> et votre interface pour la DMZ
-    <emphasis role="bold">eth2</emphasis> vous n&#39;avez pas besoin de
-    modifier le fichier fourni avec l&#39;exemple. Dans le cas contraire,
-    éditez /etc/shorewall/masq et changez le en conséquence.</para>
+    <para>Si, malgré les avertissements, vous utilisez ce guide pour un
+    utilisation de one-to-one NAT ou de Proxy ARP pour votre DMZ, enlever
+    l'entrée pour <filename class="devicefile">eth2</filename> de
+    <filename><filename
+    class="directory">/etc/shorewall/</filename><filename>masq</filename></filename>.</para>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> Si votre IP externe
-    est statique, vous pouvez la mettre dans la troisième colonne dans
-    /etc/shorewall/masq si vous le désirez, de toutes façons votre firewall
-    fonctionnera bien si vous laissez cette colonne vide. Le fait de mettre
-    votre IP statique dans la troisième colonne permet un traitement des
-    paquets sortant un peu plus efficace.</para>
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" />Si vous utilisez les
-    paquets Debian, vérifiez que votre fichier de configuration shorewall.conf
-    contient bien les valeurs suivantes, si elles n&#39;y sont pas faite les
-    changements nécessaires:</para>
+    <para>Si votre IP externe est statique, vous pouvez la mettre dans la
+    troisième colonne dans <filename
+    class="directory">/etc/shorewall/</filename><filename>masq</filename> si
+    vous le désirez, de toutes façons votre firewall fonctionnera bien si vous
+    laissez cette colonne vide. Le fait de mettre votre IP statique dans la
+    troisième colonne permet un traitement des paquets sortant un peu plus
+    efficace.</para>
 
-    <itemizedlist>
-      <listitem>
-        <para>NAT_ENABLED=Yes</para>
-      </listitem>
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
 
-      <listitem>
-        <para>IP_FORWARDING=On</para>
-      </listitem>
-    </itemizedlist>
+    <para>Si vous utilisez les paquets Debian, vérifiez que votre fichier de
+    configuration <filename>shorewall.conf</filename> contient bien les
+    valeurs suivantes, si elles n'y sont pas faite les changements
+    nécessaires:<itemizedlist spacing="compact">
+        <listitem>
+          <para><varname>NAT_ENABLED=Yes</varname> (Shorewall versions earlier
+          than 1.4.6)</para>
+        </listitem>
+
+        <listitem>
+          <para><varname>IP_FORWARDING=On</varname></para>
+        </listitem>
+      </itemizedlist></para>
   </section>
 
   <section>
@@ -575,836 +670,383 @@
 
     <para>Un de nos buts est de, peut être, faire tourner un ou plusieurs
     serveurs sur nos ordinateurs dans la DMZ. que ces ordinateurs on une
-    adresse RFC-1918, il n&#39;est pas possible pour les clients sur Internet
-    de se connecter directement à eux. Il est nécessaire à ces clients
-    d&#39;adresser leurs demandes de connexion au firewall qui ré écrit
-    l&#39;adresse de destination de votre serveur, et fait passer le paquet à
-    celui-ci. Lorsque votre serveur répond, le firewall applique
-    automatiquement un SNAT pour ré écrire l&#39;adresse source dans la
-    réponse. Ce procédé est appelé Port Forwarding ou Destination Network
-    Address Translation(DNAT). Vous configurez le port forwarding en utilisant
-    les règles DNAT dans le fichier /etc/shorewall/rules. La forme générale
-    d&#39;une simple règle de port forwarding dans /etc/shorewall/rules est :</para>
-
-    <table>
-      <title>/etc/shorewall/rules</title>
-
-      <tgroup cols="7">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-            <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-            <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-            <entry><emphasis role="bold">PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>DNAT</entry>
-
-            <entry>net</entry>
-
-            <entry>dmz:<emphasis>&#60;server local ip address&#62;
-            [:&#60;server port&#62;]</emphasis></entry>
-
-            <entry><emphasis>&#60;protocol&#62;</emphasis></entry>
-
-            <entry><emphasis>&#60;port&#62;</emphasis></entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para>Si vous ne spécifiez pas le &#60;server port&#62;, il est supposé
-    être le même que <emphasis>&#60;port&#62;</emphasis>.</para>
-
-    <para>Exemple - vous faites tourner un serveur Web dans votre DMZ (2) et
-    vous voulez faire passer les paquets entrant en TCP sur le port 80 à ce
-    système :</para>
-
-    <table>
-      <title>/etc/shorewall/rules</title>
-
-      <tgroup cols="7">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-            <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-            <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-            <entry><emphasis role="bold">PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>DNAT</entry>
-
-            <entry>net</entry>
-
-            <entry>dmz:10.10.11.2</entry>
-
-            <entry>tcp</entry>
-
-            <entry>80</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-
-          <row>
-            <entry>ACCEPT</entry>
-
-            <entry>loc</entry>
-
-            <entry>dmz:10.10.11.2</entry>
-
-            <entry>tcp</entry>
-
-            <entry>80</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para>Deux points importants à garder en mémoire :</para>
-
-    <itemizedlist>
-      <listitem>
-        <para>Lorsque vous vous connectez à votre serveur à partir de votre
-        réseau local, vous devez utiliser l&#39;adresse IP interne du serveur
-        (10.10.11.2).</para>
-      </listitem>
-
-      <listitem>
-        <para>Quelques fournisseurs Internet (Provider/ISP) bloquent les
-        requêtes de connexion entrantes sur le port 80. Si vous avez des
-        problèmes pour vous connecter à votre serveur web, essayez la règle
-        suivante et connectez vous sur le port 5000 (c.a.d., connectez vous à
-        http://w.x.y.z:5000 où w.x.y.z est votre IP externe).</para>
-
-        <table>
-          <title>/etc/shorewall/rules</title>
-
-          <tgroup cols="7">
-            <tbody>
-              <row>
-                <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-                <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-                <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-                <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-                <entry><emphasis role="bold">PORT</emphasis></entry>
-
-                <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-                <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-              </row>
-
-              <row>
-                <entry>DNAT</entry>
-
-                <entry>net</entry>
-
-                <entry>dmz:10.10.11.2:80</entry>
-
-                <entry>tcp</entry>
-
-                <entry>5000</entry>
-
-                <entry></entry>
-
-                <entry></entry>
-              </row>
-            </tbody>
-          </tgroup>
-        </table>
-      </listitem>
-    </itemizedlist>
-
-    <para>Si vous voulez avoir la possibilité de vous connecter à votre
-    serveur depuis le réseau local en utilisant votre adresse externe, et si
-    vous avez une adresse IP externe statique (fixe), vous pouvez remplacer la
-    règle loc-&#62;dmz précédente par :</para>
-
-    <table>
-      <title>/etc/shorewall/rules</title>
-
-      <tgroup cols="7">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-            <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-            <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-            <entry><emphasis role="bold">PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>DNAT</entry>
-
-            <entry>net</entry>
-
-            <entry>dmz:10.10.11.2:80</entry>
-
-            <entry>tcp</entry>
-
-            <entry>5000</entry>
-
-            <entry>-</entry>
-
-            <entry><emphasis>&#60;external IP&#62;</emphasis></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para>Si vous avez une IP dynamique, alors vous devez vous assurer que
-    votre interface externe est en route avant de lancer Shorewall et vous
-    devez suivre les étapes suivantes (en supposant que votre interface
-    externe est eth0) :</para>
-
-    <orderedlist>
-      <listitem>
-        <para>Insérez ce qui suit dans /etc/shorewall/params :</para>
-
-        <programlisting>ETH0_IP=`find_interface_address eth0`</programlisting>
-      </listitem>
-
-      <listitem>
-        <para>Faites votre règle loc-&#62;dmz :</para>
-
-        <table>
-          <title>/etc/shorewall/rules</title>
-
-          <tgroup cols="7">
-            <tbody>
-              <row>
-                <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-                <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-                <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-                <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-                <entry><emphasis role="bold">PORT</emphasis></entry>
-
-                <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-                <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-              </row>
-
-              <row>
-                <entry>DNAT</entry>
-
-                <entry>net</entry>
-
-                <entry>dmz:10.10.11.2:80</entry>
-
-                <entry>tcp</entry>
-
-                <entry>5000</entry>
-
-                <entry>-</entry>
-
-                <entry>$ETH0_IP</entry>
-              </row>
-            </tbody>
-          </tgroup>
-        </table>
-      </listitem>
-    </orderedlist>
-
-    <para>Si vous voulez accéder à votre serveur dans la DMZ en utilisant
-    votre adresse IP externe, regardez <ulink url="FAQ.htm#faq2a">FAQ 2a</ulink>.</para>
-
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> A ce point, ajoutez
-    les règles DNAT et ACCEPT pour vos serveurs.</para>
+    adresse RFC-1918, il n'est pas possible pour les clients sur Internet de
+    se connecter directement à eux. Il est nécessaire à ces clients d'adresser
+    leurs demandes de connexion au firewall qui ré écrit l'adresse de
+    destination de votre serveur, et fait passer le paquet à celui-ci. Lorsque
+    votre serveur répond, le firewall applique automatiquement un SNAT pour
+    réécrire l'adresse source dans la réponse.</para>
+
+    <para>Ce procédé est appelé <emphasis>Port Forwarding</emphasis> ou
+    <emphasis>Destination Network Address Translation</emphasis> (DNAT). Vous
+    configurez le port forwarding en utilisant les règles DNAT dans le fichier
+    <filename
+    class="directory">/etc/shorewall/</filename><filename>rules</filename>
+    file.</para>
+
+    <para>La forme générale d'une simple règle de port forwarding dans
+    <filename
+    class="directory">/etc/shorewall/</filename><filename>rules</filename>
+    est: <programlisting>#ACTION   SOURCE    DEST                                          PROTO      DEST PORT(S)
+DNAT      net       dmz:<emphasis>&lt;server local IP address&gt;</emphasis>[:<emphasis>&lt;server port&gt;</emphasis>] <emphasis>&lt;protocol&gt;</emphasis> <emphasis>&lt;port&gt;</emphasis></programlisting>
+    Si vous ne spécifiez pas le <emphasis><varname>&lt;server
+    port&gt;</varname></emphasis>, il est supposé être le même que
+    <emphasis><varname>&lt;port&gt;</varname></emphasis>.</para>
+
+    <example>
+      <title>Vous faites tourner un serveur Web dans votre DMZ (2) et vous
+      voulez faire passer les paquets entrant en TCP sur le port 80 à ce
+      système</title>
+
+      <para><programlisting>#ACTION   SOURCE    DEST                PROTO      DEST PORT(S)
+DNAT      net       dmz:10.10.11.2      tcp        80
+ACCEPT    loc       dmz:10.10.11.2      tcp        80</programlisting><itemizedlist>
+          <listitem>
+            <para>L'entrée 1 forward le port 80 depuis Internet.</para>
+          </listitem>
+
+          <listitem>
+            <para>L'entrée 2 autorise les connexions du réseau local.</para>
+          </listitem>
+        </itemizedlist>Deux points importants à garder en mémoire
+      :<itemizedlist>
+          <listitem>
+            <para>Lorsque vous vous connectez à votre serveur à partir de
+            votre réseau local, vous devez utiliser l'adresse IP interne du
+            serveur (<systemitem
+            class="ipaddress">10.10.11.2</systemitem>).</para>
+          </listitem>
+
+          <listitem>
+            <para>Quelques fournisseurs Internet (Provider/ISP) bloquent les
+            requêtes de connexion entrantes sur le port 80. Si vous avez des
+            problèmes pour vous connecter à votre serveur web, essayez la
+            règle suivante et connectez vous sur le port 5000 (c.a.d.,
+            connectez vous à <literal>http://w.x.y.z:5000 ou w.x.y.z</literal>
+            est votre IP externe).<programlisting>#ACTION   SOURCE    DEST                PROTO      DEST PORT(S)    SOURCE
+#                                                                  PORT(S)
+DNAT      net       dmz:10.10.11.2:80   tcp        80              5000</programlisting></para>
+          </listitem>
+
+          <listitem>
+            <para>Si vous voulez avoir la possibilité de vous connecter à
+            votre serveur depuis le réseau local en utilisant votre adresse
+            externe, et si vous avez une adresse IP externe statique (fixe),
+            vous pouvez remplacer la règle loc-&gt;dmz précédente par
+            :<programlisting>#ACTION   SOURCE    DEST            PROTO  DEST PORT(S)  SOURCE   ORIGINAL
+#                                                        PORT(S)  DEST
+DNAT      loc       dmz:10.10.11.2  tcp    80            -        <emphasis>&lt;external IP&gt;</emphasis></programlisting>Si
+            vous avez une IP dynamique, alors vous devez vous assurer que
+            votre interface externe est en route avant de lancer Shorewall et
+            vous devez suivre les étapes suivantes (en supposant que votre
+            interface externe est <filename
+            class="devicefile">eth0</filename>):<orderedlist>
+                <listitem>
+                  <para>Insérez ce qui suit dans /etc/shorewall/params:</para>
+
+                  <para><command>ETH0_IP=$(find_interface_address
+                  eth0)</command></para>
+                </listitem>
+
+                <listitem>
+                  <para>Faites votre règle <literal>loc-&gt;dmz</literal>
+                  rule: <programlisting>#ACTION   SOURCE    DEST             PROTO   DEST PORT(S)  SOURCE   ORIGINAL
+#                                                          PORT(S)  DEST
+DNAT      loc       dmz:10.10.11.2   tcp     80            -        $ETH0_IP</programlisting></para>
+                </listitem>
+              </orderedlist></para>
+          </listitem>
+
+          <listitem>
+            <para>Si vous voulez accéder à votre serveur dans la DMZ en
+            utilisant votre adresse IP externe, regardez <ulink
+            url="FAQ.htm#faq2a">FAQ 2a</ulink>.</para>
+          </listitem>
+        </itemizedlist></para>
+    </example>
+
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
+
+    <para>A ce point, ajoutez les règles DNAT et ACCEPT pour vos
+    serveurs.</para>
   </section>
 
   <section>
     <title>Domain Name Server (DNS)</title>
 
-    <para>Normalement, quand vous vous connectez à votre fournisseur (ISP),
-    une partie consiste à obtenir votre adresse IP, votre DNS pour le firewall
-    (Domain Name Service) est configuré automatiquement (c.a.d., le fichier
-    /etc/resolv.conf a été écrit). Il arrive que votre provider vous donne une
-    paire d&#39;adresse IP pour les DNS (name servers) afin que vous
-    configuriez manuellement votre serveur de nom primaire et secondaire. La
-    manière dont le DNS est configuré sur votre firewall est de votre
-    responsabilité. Vous pouvez procéder d&#39;une de ses deux façons :</para>
+    <para>Normalement, quand vous vous connectez à votre fournisseur
+    (FAI/ISP), une partie consiste à obtenir votre adresse IP, votre
+    <emphasis>Domain Name Service</emphasis> (<acronym>DNS</acronym>) pour le
+    firewall est configuré automatiquement (c.a.d.,le fichier <filename
+    class="directory">/etc/</filename><filename>resolv.conf</filename> sera
+    mis à jour). Il arrive que votre provider vous donne une paire d'adresse
+    <acronym>IP</acronym> pour les serveurs <acronym>DNS</acronym> afin que
+    vous configuriez manuellement votre serveur de nom primaire et secondaire.
+    La manière dont le <acronym>DNS</acronym> est configuré sur votre firewall
+    est de votre responsabilité. Vous pouvez procéder d'une de ses deux façons
+    :<itemizedlist>
+        <listitem>
+          <para>Vous pouvez configurer votre système interne pour utiliser les
+          noms de serveurs de votre provider. Si votre fournisseur vous donne
+          les adresses de leurs serveurs ou si ces adresses sont disponibles
+          sur leur site web, vous pouvez configurer votre système interne afin
+          de les utiliser. Si cette information n' est pas disponible,
+          regardez dans <filename
+          class="directory"><filename>/etc/</filename></filename><filename>resolv.conf</filename>
+          sur votre firewall -- les noms des serveurs sont donnés dans
+          l'enregistrement "nameserver" dans ce fichier.</para>
+        </listitem>
+
+        <listitem>
+          <para><anchor id="cachingdns" />Vous pouvez configurer un cache dns
+          <emphasis>Caching Name Server</emphasis> sur votre firewall.
+          <trademark>Red Hat</trademark> a un <acronym>RPM</acronym> pour
+          serveur dns de cache (le <acronym>RPM</acronym> à besoin aussi du
+          paquetage <command>bind </command><acronym>RPM</acronym>) et pour
+          les utilisateurs de Bering, il y a <command>dnscache.lrp</command>.
+          Si vous adoptez cette approche, vous configurez votre système
+          interne pour utiliser le firewall lui même comme étant le seul
+          serveur de nom primaire. Vous pouvez utiliser l'adresse
+          <acronym>IP</acronym> interne du firewall (<systemitem
+          class="ipaddress">10.10.10.254</systemitem> dans l'exemple
+          précédent) pour l'adresse de serveur de nom. Pour permettre à vos
+          systèmes locaux de discuter avec votre serveur cache de nom, vous
+          devez ouvrir le port 53 (à la fois <acronym>UDP</acronym> and
+          <acronym>TCP</acronym>) sur le firewall vers le réseau local; vous
+          ferez ceci en ajoutant les règles suivantes dans <filename
+          class="directory">/etc/shorewall/</filename><filename>rules</filename>.</para>
+
+          <para>Si vous faites tourner le serveur de nom sur le firewall:
+          <programlisting>#ACTION   SOURCE    DEST                PROTO      DEST PORT(S)                      
+AllowDNS  loc       fw
+AllowDNS  dmz       fw             </programlisting></para>
+        </listitem>
+      </itemizedlist>Dans la régle ci-dessus, <quote>AllowDNS</quote> est un
+    exemple d'action prédéfinie <emphasis>defined action</emphasis>. Shorewall
+    inclus un nombre d'actions prédéfinies et vous pouvez <ulink
+    url="User_defined_Actions.html">ajouter les vôtres</ulink>. Pour voir les
+    actions comprises avec votre version de Shorewall, regardez dans le
+    fichier <filename>/etc/shorewall/actions.std</filename>. Le nom de celles
+    qui acceptent des connexions débutent par <quote>Allow</quote>.</para>
+
+    <para>Vous n'êtes pas obligé d'utiliser des actions prédéfinies quand vous
+    ajoutez des régles dans le fichier
+    <filename>/etc/shorewall/rules</filename>; les régles générées par
+    Netfilter sont plus performantes sans actions prédéfinies. La régle vue
+    ci-dessus peut aussi être codé comme cela:</para>
+
+    <programlisting>#ACTION   SOURCE    DEST                PROTO      DEST PORT(S)                      
+ACCEPT    loc       fw                  tcp        53
+ACCEPT    loc       fw                  udp        53
+ACCEPT    dmz       fw                  tcp        53
+ACCEPT    dmz       fw                  udp        53              </programlisting>
+
+    <para>Au cas ou Shorewall n'inclue pas d'actions définies qui vous
+    conviennent, vous pouvez les définir vous même ou coder directement les
+    régles.</para>
+  </section>
+
+  <section>
+    <title>Autres Connexions</title>
+
+    <para>Les fichiers exemples inclus dans l'archive (three-interface)
+    contiennent les règles suivantes :<programlisting>#ACTION   SOURCE    DEST                PROTO      DEST PORT(S)                      
+AllowDNS  fw        net       </programlisting>Ces règles autorisent l'accès
+    <acronym>DNS</acronym> à partir de votre firewall et peuvent être enlevées
+    si vous avez décommenté la ligne dans <filename
+    class="directory">/etc/shorewall/</filename><filename>policy</filename>
+    autorisant toutes les connexions depuis le firewall vers Internet.</para>
+
+    <para>L'exemple inclus aussi: <programlisting>#ACTION   SOURCE    DEST                PROTO      DEST PORT(S)                      
+AllowSSH  loc       fw
+AllowSSH  loc       dmz        </programlisting>Ces régles autorisent un
+    serveur <acronym>SSH</acronym> sur votre firewall et chacun des systèmes
+    de votre DMZ et y autoriser la connexion à ceux-ci depuis votre réseau
+    local.</para>
+
+    <para>Si vous désirez permettre d'autres connexions entre vos systèmes, la
+    syntaxe générale est:<programlisting>#ACTION   SOURCE        DEST                PROTO      DEST PORT(S)                      
+&lt;<emphasis>action</emphasis>&gt;  <emphasis>&lt;source zone&gt; &lt;destination zone&gt;</emphasis></programlisting></para>
+
+    <para>La syntaxe générale lorsqu'on utilise pas des actions prédéfinies
+    est:<programlisting>#ACTION   SOURCE        DEST                PROTO      DEST PORT(S)                      
+ACCEPT    <emphasis>&lt;source zone&gt; &lt;destination zone&gt;  &lt;protocol&gt; &lt;port&gt; </emphasis></programlisting></para>
+
+    <example>
+      <title>Vous souhaitez rendre publiquement accessible votre serveur DNS
+      sur le firewall</title>
+
+      <para>En utiliser une action prédéfinie:</para>
+
+      <programlisting>#ACTION   SOURCE    DEST                PROTO      DEST PORT(S)
+AllowDNS  net       fw</programlisting>
+
+      <para>Sans action prédéfinie:</para>
+
+      <programlisting>#ACTION   SOURCE    DEST                PROTO      DEST PORT(S)                      
+ACCEPT    net       fw                  tcp        53
+ACCEPT    net       fw                  udp        53        </programlisting>
+
+      <para>Ces deux régles viennent évidemment s'ajouter à celles listées
+      sous <quote><link linkend="cachingdns">Vous pouvez configurer un cache
+      dns sur votre firewall</link></quote>.</para>
+    </example>
+
+    <para>Si vous ne savez pas quel port(s) et protocole(s) requièrent une
+    application particulière, vous pouvez regarder <ulink
+    url="ports.htm">ici</ulink>.</para>
+
+    <important>
+      <para>Je ne recommande pas d'autoriser <command>telnet</command> vers/de
+      l'Internet parce qu'il utilise du texte en clair (même pour le login!).
+      Si vous voulez un accés shell à votre firewall, utilisez
+      <acronym>SSH</acronym>:</para>
+
+      <programlisting>#ACTION    SOURCE    DEST               PROTO     DEST PORT(S)
+AllowSSH   net       fw</programlisting>
+    </important>
+
+    <para><inlinegraphic fileref="images/leaflogo.gif" format="GIF" /> Les
+    utilisateurs de Bering pourront ajouter les deux régles suivantes pour
+    être compatible avec la configuration du firewall Jacques's
+    Shorewall.<programlisting>#ACTION   SOURCE    DEST                PROTO      DEST PORT(S)                      
+ACCEPT    loc       fw                  udp        53
+ACCEPT    net       fw                  tcp        80       </programlisting><itemizedlist>
+        <listitem>
+          <para>L'entrée 1 autorise l'utilisation du Cache DNS.</para>
+        </listitem>
+
+        <listitem>
+          <para>L'entrée 2 autorise le <quote>weblet</quote> à
+          fonctionner.</para>
+        </listitem>
+      </itemizedlist><inlinegraphic fileref="images/BD21298_.gif"
+    format="GIF" /></para>
+
+    <para>Maintenant, éditez votre fichier de configuration <filename
+    class="directory">/etc/shorewall/</filename><filename>rules</filename>
+    pour ajouter, modifier ou supprimer les autres connexions voulues.</para>
+  </section>
+
+  <section>
+    <title>Quelques Points à Garder en Mémoire</title>
 
     <itemizedlist>
       <listitem>
-        <para>Vous pouvez configurer votre système interne pour utiliser les
-        noms de serveurs de votre provider. Si votre fournisseur vous donne
-        les adresses de leurs serveurs ou si ces adresses sont disponibles sur
-        leur site web, vous pouvez configurer votre système interne afin de
-        les utiliser. Si cette information n&#39;est pas disponible, regardez
-        dans /etc/resolv.conf sur votre firewall -- les noms des serveurs sont
-        donnés dans l&#39;enregistrement &#34;nameserver&#34; dans ce fichier.</para>
+        <para><emphasis role="bold">Vous ne pouvez tester votre firewall de
+        l'intérieur de votre réseau</emphasis>. Car les requêtes que vous
+        envoyez à votre adresse IP ne veux pas dire qu'elle seront associées à
+        votre interface externe ou la zone <quote>net</quote>. Tout trafic
+        généré par le réseau local sera traité par loc-&gt;fw.</para>
       </listitem>
 
       <listitem>
-        <para><inlinegraphic fileref="images/BD21298_.gif" /> Vous pouvez
-        installer/configurer un cache dns (Caching Name Server) sur votre
-        firewall ou dans la DMZ. Red Hat a un RPM pour mettre en cache un
-        serveur de nom (le RPM requis aussi le RPM &#39;bind&#39;) et pour les
-        utilisateurs de Bering, il y a dnscache.lrp. Si vous adoptez cette
-        approche, vous configurez votre système interne pour utiliser le
-        firewall lui même comme étant le seul serveur de nom primaire. Vous
-        pouvez utiliser l&#39;adresse IP interne du firewall (10.10.10.254
-        dans l&#39;exemple) pour l&#39;adresse de serveur de nom si vous
-        décidez de faire tourner le serveur de nom sur votre firewall. Pour
-        permettre à vos systèmes locaux de discuter avec votre serveur cache
-        de nom, vous devez ouvrir le port 53 (UDP ET&#x00A0; TCP) sur le
-        firewall vers le réseau local; vous ferez ceci en ajoutant les règles
-        suivantes dans /etc/shorewall/rules.</para>
-
-        <para>Si vous faites tourner le serveur de nom sur le firewall :</para>
-
-        <table>
-          <title>/etc/shorewall/rules</title>
-
-          <tgroup cols="7">
-            <tbody>
-              <row>
-                <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-                <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-                <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-                <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-                <entry><emphasis role="bold">PORT</emphasis></entry>
-
-                <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-                <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-              </row>
-
-              <row>
-                <entry>ACCEPT</entry>
-
-                <entry>loc</entry>
-
-                <entry>fw</entry>
-
-                <entry>udp</entry>
-
-                <entry>53</entry>
-
-                <entry></entry>
-
-                <entry></entry>
-              </row>
-
-              <row>
-                <entry>ACCEPT</entry>
-
-                <entry>loc</entry>
-
-                <entry>fw</entry>
-
-                <entry>tcp</entry>
-
-                <entry>53</entry>
-
-                <entry></entry>
-
-                <entry></entry>
-              </row>
-
-              <row>
-                <entry>ACCEPT</entry>
-
-                <entry>dmz</entry>
-
-                <entry>fw</entry>
-
-                <entry>udp</entry>
-
-                <entry>53</entry>
-
-                <entry></entry>
-
-                <entry></entry>
-              </row>
-
-              <row>
-                <entry>ACCEPT</entry>
-
-                <entry>dmz</entry>
-
-                <entry>fw</entry>
-
-                <entry>tcp</entry>
-
-                <entry>53</entry>
-
-                <entry></entry>
-
-                <entry></entry>
-              </row>
-            </tbody>
-          </tgroup>
-        </table>
-
-        <para>Le serveur de nom tourne sur l&#39;ordinateur 1 de la DMZ</para>
-
-        <table>
-          <title>/etc/shorewall/rules</title>
-
-          <tgroup cols="7">
-            <tbody>
-              <row>
-                <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-                <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-                <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-                <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-                <entry><emphasis role="bold">PORT</emphasis></entry>
-
-                <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-                <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-              </row>
-
-              <row>
-                <entry>ACCEPT</entry>
-
-                <entry>loc</entry>
-
-                <entry>dmz:10.10.11.1</entry>
-
-                <entry>udp</entry>
-
-                <entry>53</entry>
-
-                <entry></entry>
-
-                <entry></entry>
-              </row>
-
-              <row>
-                <entry>ACCEPT</entry>
-
-                <entry>loc</entry>
-
-                <entry>dmz:10.10.11.1</entry>
-
-                <entry>tcp</entry>
-
-                <entry>53</entry>
-
-                <entry></entry>
-
-                <entry></entry>
-              </row>
-
-              <row>
-                <entry>ACCEPT</entry>
-
-                <entry>dmz</entry>
-
-                <entry>dmz:10.10.11.1</entry>
-
-                <entry>udp</entry>
-
-                <entry>53</entry>
-
-                <entry></entry>
-
-                <entry></entry>
-              </row>
-
-              <row>
-                <entry>ACCEPT</entry>
-
-                <entry>dmz</entry>
-
-                <entry>dmz:10.10.11.1</entry>
-
-                <entry>tcp</entry>
-
-                <entry>53</entry>
-
-                <entry></entry>
-
-                <entry></entry>
-              </row>
-            </tbody>
-          </tgroup>
-        </table>
+        <para><emphasis role="bold">Les adresses IP sont des propriétés des
+        systèmes, pas des interfaces</emphasis>. C'est une erreur de croire
+        que votre firewall est capable de renvoyer des paquets simplement
+        parce que vous pouvez faire un ping sur l'adresse IP de toutes les
+        interfaces du firewall depuis le réseau local. La seul conclusion est
+        de conclure que le lien entre le réseau local et le firewall est
+        établi et que vous avez probablement la bonne adresse de la passerelle
+        sur votre système.</para>
+      </listitem>
+
+      <listitem>
+        <para><emphasis role="bold">Toutes les adresses IP configurées sur le
+        firewall sont dans la zone $FW (fw)</emphasis>. Si 192.168.1.254 est
+        l'adresse IP de votre interface interne, alors vous pouvez écrire
+        <quote><emphasis role="bold">$FW:192.168.1.254</emphasis></quote> dans
+        une régle mais vous ne devez pas écrire <quote><emphasis
+        role="bold">loc:192.168.1.254</emphasis></quote>. C'est aussi un
+        non-sens d'ajouter 192.168.1.254 à la zone <emphasis
+        role="bold">loc</emphasis> en utilisant une entrée dans
+        <filename>/etc/shorewall/hosts</filename>.</para>
+      </listitem>
+
+      <listitem>
+        <para><emphasis role="bold">Les paquets de retour (Reply) ne suivent
+        PAS automatiquement le chemin inverse de la requête
+        d'origine</emphasis>. Tous les paquets sont routés en se référant à la
+        table de routage respective de chaque hôte à chaque étape du trajet.
+        C'est commun chez ceux qui installent le firewall Shorewall en
+        parallèle à une passerelle existante et essayent d'utiliser DNAT dans
+        Shorewall sans changer la passerelle par défaut sur les systèmes
+        recevant le retour des requêtes. Les requêtes dont, à travers le
+        firewall Shorewall, l'adresse de destination IP est réécrite mais la
+        réponse va directement vers l'ancienne passerelle.</para>
+      </listitem>
+
+      <listitem>
+        <para><emphasis role="bold">Shorewall lui-même n'a aucune notion du
+        dedans et du dehors</emphasis>. Ces concepts dépendent de la façon
+        dont Shorewall est configuré.</para>
       </listitem>
     </itemizedlist>
   </section>
 
   <section>
-    <title>Autres connexions</title>
-
-    <para>L&#39;exemple pour trois interfaces contient les règles suivantes :</para>
-
-    <table>
-      <title>/etc/shorewall/rules</title>
-
-      <tgroup cols="7">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-            <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-            <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-            <entry><emphasis role="bold">PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>ACCEPT</entry>
-
-            <entry>fw</entry>
-
-            <entry>net</entry>
-
-            <entry>udp</entry>
-
-            <entry>53</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-
-          <row>
-            <entry>ACCEPT</entry>
-
-            <entry>fw</entry>
-
-            <entry>net</entry>
-
-            <entry>tcp</entry>
-
-            <entry>53</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para>Ces règles permettent l&#39;accès DNS depuis votre firewall et
-    peuvent être enlevées si vous avez décommenté la ligne dans
-    /etc/shorewall/policy autorisant toutes les connexions depuis votre
-    firewall et vers Internet.</para>
-
-    <para>L&#39;exemple contient aussi :</para>
-
-    <table>
-      <title>/etc/shorewall/rules</title>
-
-      <tgroup cols="7">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-            <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-            <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-            <entry><emphasis role="bold">PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>ACCEPT</entry>
-
-            <entry>loc</entry>
-
-            <entry>fw</entry>
-
-            <entry>tcp</entry>
-
-            <entry>22</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-
-          <row>
-            <entry>ACCEPT</entry>
-
-            <entry>loc</entry>
-
-            <entry>dmz</entry>
-
-            <entry>tcp</entry>
-
-            <entry>22</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para>Cette règle permet de faire fonctionner une serveur SSH sur le
-    firewall et sur tous les systèmes de la DMZ et d&#39;y autoriser la
-    connexion à partir de votre réseau local.</para>
-
-    <para>Si vous désirez permettre d&#39;autres connexions entre vos
-    systèmes, la forme générale est :</para>
-
-    <table>
-      <title>/etc/shorewall/rules</title>
-
-      <tgroup cols="7">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-            <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-            <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-            <entry><emphasis role="bold">PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>ACCEPT</entry>
-
-            <entry><emphasis>&#60;source zone&#62;</emphasis></entry>
-
-            <entry><emphasis>&#60;destination zone&#62;</emphasis></entry>
-
-            <entry><emphasis>&#60;protocol&#62;</emphasis></entry>
-
-            <entry><emphasis>&#60;port&#62;</emphasis></entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para>Exemple - Vous voulez faire tourner un serveur Web sur votre
-    firewall :</para>
-
-    <table>
-      <title>/etc/shorewall/rules</title>
-
-      <tgroup cols="7">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-            <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-            <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-            <entry><emphasis role="bold">PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>ACCEPT</entry>
-
-            <entry>loc</entry>
-
-            <entry>fw</entry>
-
-            <entry>tcp</entry>
-
-            <entry>80</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-
-          <row>
-            <entry>ACCEPT</entry>
-
-            <entry>net</entry>
-
-            <entry>fw</entry>
-
-            <entry>tcp</entry>
-
-            <entry>80</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para>Ces deux règles seront, bien sur, ajoutées aux règles décrites dans
-    &#34;Vous pouvez installer/configurer un cache dns (Caching Name Server)
-    sur votre firewall ou dans la DMZ&#34;.</para>
-
-    <para>Si vous ne savez pas quel port ou protocole une application
-    particulière utilise, regardez <ulink url="ports.htm">ici</ulink>.</para>
-
-    <para>Important: Je ne vous recommande pas d&#39;autoriser le telnet
-    depuis ou vers l&#39;Internet car il utilise du texte en clair (même pour
-    le login et le mot de passe !). Si vous voulez avoir un accès au shell de
-    votre firewall depuis Internet, utilisez SSH :</para>
-
-    <table>
-      <title>/etc/shorewall/rules</title>
-
-      <tgroup cols="7">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-            <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-            <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-            <entry><emphasis role="bold">PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>ACCEPT</entry>
-
-            <entry>net</entry>
-
-            <entry>fw</entry>
-
-            <entry>tcp</entry>
-
-            <entry>22</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> Et maintenant,
-    éditez /etc/shorewall/rules pour rajouter les autres connexions désirées.</para>
+    <title>Démarrer et Arrêter Votre Firewall</title>
+
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
+
+    <para>La <ulink url="Install.htm">procédure d'installation</ulink>
+    configure votre système pour lancer Shorewall au boot du système, mais au
+    début avec la version 1.3.9 de Shorewall le lancement est désactivé,
+    n'essayer pas de lancer Shorewall avec que la configuration soit finie.
+    Une fois que vous en aurez fini avec la configuration du firewall, vous
+    pouvez permettre le lancement de Shorewall en supprimant le fichier
+    <filename
+    class="directory">/etc/shorewall/</filename><filename>startup_disabled</filename>.
+    <important>
+        <para>Les utilisateurs des paquets .deb doivent éditer <filename
+        class="directory">/etc/default/</filename><filename>shorewall</filename>
+        and set <varname>startup=1</varname>.</para>
+      </important>Le firewall est activé en utilisant la commande
+    <quote><command>shorewall start</command></quote> et arrêté avec
+    <quote><command>shorewall stop</command></quote>. Lorsque le firewall est
+    stoppé, le routage est autorisé sur les hôtes qui possèdent une entrée
+    dans <filename
+    class="directory">/etc/shorewall/</filename><filename><ulink
+    url="Documentation.htm#Routestopped">routestopped</ulink></filename>. Un
+    firewall qui tourne peut être relancé en utilisant la commande
+    <quote><command>shorewall restart</command></quote> command. Si vous
+    voulez enlever toutes traces de Shorewall sur votre configuration de
+    Netfilter, utilisez <quote><command>shorewall
+    clear</command></quote>.</para>
+
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
+
+    <para>Les exemples (three-interface) supposent que vous voulez permettre
+    le routage depuis ou vers <filename class="devicefile">eth1</filename> (le
+    réseau local) et <filename class="devicefile">eth2</filename> (DMZ)
+    lorsque Shorewall est stoppé. Si ces deux interfaces ne sont pas
+    connectées à votre réseau local et votre DMZ, ou si vous voulez permettre
+    un ensemble d'hôtes différents, modifiez <filename
+    class="directory">/etc/shorewall/</filename><filename><ulink
+    url="Documentation.htm#Routestopped">routestopped</ulink></filename> en
+    conséquence. <warning>
+        <para>Si vous êtes connecté à votre firewall depuis Internet,
+        n'essayez pas une commande <quote><command>shorewall
+        stop</command></quote> tant que vous n'avez pas ajouté une entrée pour
+        votre adresse <acronym>IP</acronym> (celle à partir de laquelle vous
+        êtes connectée) dans <filename
+        class="directory">/etc/shorewall/</filename><filename>routestopped</filename>.
+        De la même manière, je ne vous recommande pas d'utiliser
+        <quote><command>shorewall restart</command></quote>; il est plus
+        intéressant de créer <ulink
+        url="configuration_file_basics.htm#Configs">une configuration
+        alternative</ulink> et de la tester en utilisant la commande
+        <quote><command>shorewall try</command></quote>.</para>
+      </warning></para>
   </section>
 
   <section>
-    <title>Lancer et Arrêter son Firewall</title>
+    <title>Autres Lectures Recommandées</title>
 
-    <para>La <ulink url="Install.htm">procédure d&#39;installation</ulink>
-    configure votre système pour lancer Shorewall au boot du système, mais au
-    début avec la version 1.3.9 de Shorewall le lancement est désactivé,
-    n&#39;essayer pas de lancer Shorewall avec que la configuration soit
-    finie. Une fois que vous en aurez fini avec la configuration du firewall,
-    vous pouvez permettre le lancement de Shorewall en supprimant le fichier
-    /etc/shorewall/startup_disabled.</para>
-
-    <para><emphasis role="bold">IMPORTANT: Les utilisateurs des paquets .deb
-    doivent éditer /etc/default/shorewall et mettre &#39;startup=1&#39;.</emphasis></para>
-
-    <para>Le firewall est activé en utilisant la commande &#34;shorewall
-    start&#34; et arrêté avec &#34;shorewall stop&#34;. Lorsque le firewall
-    est stoppé, le routage est autorisé sur les hôtes qui possèdent une entrée
-    dans <ulink url="Documentation.htm#Routestopped">/etc/shorewall/routestopped</ulink>.
-    Un firewall qui tourne peut être relancé en utilisant la commande
-    &#34;shorewall restart&#34;. Si vous voulez enlever toutes traces de
-    Shorewall sur votre configuration de Netfilter, utilisez &#34;shorewall
-    clear&#34;.</para>
-
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> L&#39;exemple pour
-    trois interfaces suppose que vous voulez permettre le routage depuis/vers
-    <emphasis role="bold">eth1</emphasis> (votre réseau local) et <emphasis
-    role="bold">eth2</emphasis>(DMZ) lorsque Shorewall est arrêté. Si ces deux
-    interfaces ne sont pas connectées à votre réseau local et votre DMZ, ou si
-    vous voulez permettre un ensemble d&#39;hôtes différents, modifiez
-    /etc/shorewall/routestopped en conséquence.</para>
-
-    <para><emphasis role="bold">ATTENTION:</emphasis> Si vous êtes connecté à
-    votre firewall depuis Internet, n&#39;essayez pas une commande
-    &#34;shorewall stop&#34; tant que vous n&#39;avez pas ajouté une entrée
-    pour votre adresse IP (celle à partir de laquelle vous êtes connectée)
-    dans<ulink url="Documentation.htm#Routestopped">
-    /etc/shorewall/routestopped</ulink>. De la même manière, je ne vous
-    recommande pas d&#39;utiliser &#34;shorewall restart&#34;; il est plus
-    intéressant de créer <ulink url="configuration_file_basics.htm#Configs">une
-    configuration alternative</ulink> et de la tester en utilisant la commande
-    &#34;<ulink url="starting_and_stopping_shorewall.htm">shorewall try</ulink>&#34;.</para>
+    <para>Je vous recommande vivement de lire la <ulink
+    url="configuration_file_basics.htm">page des Fonctionnalités Générales des
+    Fichiers de Configuration</ulink> -- elle contient des trucs sur les
+    possibilités de Shorewall pour rendre aisé l'administration de votre
+    firewall Shorewall.</para>
   </section>
 </article>
\ No newline at end of file
diff --git a/Shorewall-docs2/two-interface.xml b/Shorewall-docs2/two-interface.xml
index 7462aefed..d82768793 100644
--- a/Shorewall-docs2/two-interface.xml
+++ b/Shorewall-docs2/two-interface.xml
@@ -12,7 +12,7 @@
       <surname>Eastep</surname>
     </author>
 
-    <pubdate>2003-04-03</pubdate>
+    <pubdate>2003-04-22</pubdate>
 
     <copyright>
       <year>2002</year>
@@ -184,11 +184,11 @@
     class="directory">/etc/shorewall/</filename><filename>rules</filename>
     file. If no rule in that file matches the connection request then the
     first policy in <filename class="directory">/etc/shorewall/</filename><filename>policy</filename>
-    that matches the request is applied. If that policy is <varname>REJECT</varname>
-    or <varname>DROP</varname> the request is first checked against the rules
-    in <filename class="directory">/etc/shorewall/</filename><filename>common</filename>
-    if that file exists; otherwise the rules in <filename class="directory">/etc/shorewall/</filename><filename>common.def</filename>
-    are checked.</para>
+    that matches the request is applied. If there is a <ulink
+    url="shorewall_extension_scripts.htm">comon action</ulink> defined for the
+    policy in <filename>/etc/shorewall/actions</filename> or
+    <filename>/usr/share/shorewall/actions.std</filename> then that action is
+    peformed before the action is applied.</para>
 
     <para>The <filename class="directory">/etc/shorewall/</filename><filename>policy</filename>
     file included with the two-interface sample has the following policies:
diff --git a/Shorewall-docs2/two-interface_fr.xml b/Shorewall-docs2/two-interface_fr.xml
index 20f01c945..1b7643ac7 100644
--- a/Shorewall-docs2/two-interface_fr.xml
+++ b/Shorewall-docs2/two-interface_fr.xml
@@ -1,9 +1,10 @@
 <?xml version="1.0" encoding="UTF-8"?>
 <!DOCTYPE article PUBLIC "-//OASIS//DTD DocBook XML V4.2//EN"
 "http://www.oasis-open.org/docbook/xml/4.2/docbookx.dtd">
-<article id="IPIP">
+<!-- $Id$ -->
+<article id="two-interface">
   <articleinfo>
-    <title>Basic Two-Interface Firewall</title>
+    <title>Firewall standard à deux interfaces</title>
 
     <authorgroup>
       <author>
@@ -11,12 +12,28 @@
 
         <surname>Eastep</surname>
       </author>
+
+      <author>
+        <firstname>Patrice</firstname>
+
+        <surname>Vetsel</surname>
+      </author>
+
+      <author>
+        <firstname>Fabien</firstname>
+
+        <surname>Demassieux</surname>
+      </author>
     </authorgroup>
 
     <pubdate>2003-12-30</pubdate>
 
     <copyright>
-      <year>2001-2003</year>
+      <year>2002</year>
+
+      <year>2003</year>
+
+      <year>2004</year>
 
       <holder>Thomas M. Eastep</holder>
     </copyright>
@@ -26,457 +43,492 @@
       document under the terms of the GNU Free Documentation License, Version
       1.2 or any later version published by the Free Software Foundation; with
       no Invariant Sections, with no Front-Cover, and with no Back-Cover
-      Texts. A copy of the license is included in the section entitled &#34;<ulink
-      url="GnuCopyright.htm">GNU Free Documentation License</ulink>&#34;.</para>
+      Texts. A copy of the license is included in the section entitled <quote>
+      <ulink url="GnuCopyright.htm">GNU Free Documentation
+      License</ulink></quote>.</para>
     </legalnotice>
   </articleinfo>
 
   <note>
-    <para><emphasis role="underline">Notes du traducteur :</emphasis> Je ne
-    prétends pas être un vrai traducteur dans le sens ou mon travail n&#39;est
-    pas des plus précis (loin de là...). Je ne me suis pas attaché à une
-    traduction exacte du texte, mais plutôt à en faire une version française
-    intelligible par tous (et par moi). Les termes techniques sont la plupart
-    du temps conservés sous leur forme originale et mis entre parenthèses car
-    vous pouvez les retrouver dans le reste des documentations ainsi que dans
-    les fichiers de configuration. N&#39;hésitez pas à me contacter afin
-    d&#39;améliorer ce document <ulink url="mailto:vetsel.patrice@wanadoo.fr">VETSEL
-    Patrice</ulink> (merci à JMM pour sa relecture et ses commentaires
-    pertinents, ainsi qu&#39;à Tom EASTEP pour son formidable outil et sa
-    disponibilité).</para>
+    <para><emphasis role="underline">Notes du traducteur :</emphasis> Le guide
+    initial a été traduit par <ulink
+    url="mailto:vetsel.patrice@wanadoo.fr">VETSEL Patrice</ulink> que je
+    remercie. J'en ai assuré la révision pour l'adapter à la version 2 de
+    Shorewall. J'espère vous faciliter l'accès et la prise en main d'un
+    firewall performant, efficace, adaptable et facile d'utilisation. Donc
+    félicitations pour la qualité du travail et la disponibilité offerte par
+    Thomas M. Eastep. Si vous trouvez des erreurs ou des améliorations à
+    apporter vous pouvez me contacter <ulink
+    url="mailto:fd03x@wanadoo.fr">Fabien Demassieux</ulink></para>
   </note>
 
-  <section id="Documentation">
+  <section>
     <title>Introduction</title>
 
     <para>Mettre en place un système Linux en tant que firewall pour un petit
     réseau est une chose assez simple, si vous comprenez les bases et suivez
-    la documentation. Ce guide ne veut pas vous apprendre tous les rouages de
-    Shorewall. Il se focalise sur ce qui est nécessaire pour configurer
-    Shorewall, dans son utilisation la plus courante :</para>
+    la documentation.</para>
 
-    <itemizedlist>
+    <para>Ce guide ne prétend pas vous apprendre tous les rouages de
+    Shorewall. Il se focalise sur ce qui est nécessaire pour configurer
+    Shorewall, dans son utilisation la plus courante:</para>
+
+    <itemizedlist mark="bullet" spacing="compact">
       <listitem>
         <para>Un système Linux utilisé en tant que firewall/routeur pour un
         petit réseau local.</para>
       </listitem>
 
       <listitem>
-        <para>Une seule adresse IP publique.</para>
+        <para><emphasis role="bold">Une seule adresse IP
+        publique.</emphasis><note>
+            <para>Si vous avez plus d'une adresse IP, ce n'est pas le guide
+            qui vous convient -- regrdez plutôt du coté du <ulink
+            url="shorewall_setup_guide_fr.htm">Guide de Configuration
+            Shorewall</ulink>.</para>
+          </note></para>
       </listitem>
 
       <listitem>
-        <para>Une connexion Internet par le biais d&#39;un modem câble, ADSL,
-        ISDN, &#34;Frame Relay&#34;, RTC ...</para>
+        <para>Une connexion Internet par le biais d'un modem câble, ADSL,
+        ISDN, "Frame Relay", RTC ...</para>
       </listitem>
     </itemizedlist>
 
-    <para>Voici un schéma d&#39;une installation typique.</para>
+    <para>Voici un schéma d'une installation typique:<figure label="1">
+        <title>Configuration standard d'un firewall avec deux
+        interfaces</title>
 
-    <graphic align="center" fileref="images/basics.png" />
+        <mediaobject>
+          <imageobject>
+            <imagedata align="center" fileref="images/basics.png" format="PNG" />
+          </imageobject>
+        </mediaobject>
+      </figure> <tip>
+        <title>Shorewall and <trademark>Mandrake</trademark> 9.0+</title>
 
-    <para><emphasis role="bold">Si vous faites tourner Shorewall sous Mandrake
-    9.0 ou plus récent, vous pouvez facilement réaliser la configuration
-    ci-dessus en utilisant l&#39;applet Mandrake &#34;Internet Connection
-    Sharing&#34;. Depuis le &#34;Mandrake Control Center&#34;, sélectionnez
-    &#34;Network &#38; Internet&#34; et &#34;Connection Sharing&#34;. Vous ne
-    devriez pas avoir besoin de vous référer à ce guide.</emphasis></para>
+        <para>Si vous utilisez <trademark>Mandrake</trademark> 9.0 ou version
+        postérieure, vous pouvez facilement utiliser l'utilitaire
+        <trademark>Mandrake</trademark> <quote>Partage de Connexion
+        Internet</quote>. Dans le <emphasis><interface>Centre de Contrôle
+        Mandrake</interface></emphasis>, selectionner
+        <quote><guimenuitem>Réseau </guimenuitem>&amp;
+        <guisubmenu>Internet</guisubmenu></quote> puis
+        <quote><interface>Partage de Connexion</interface></quote>.</para>
 
-    <para>Ce guide suppose que vous avez le paquet iproute/iproute2
-    d&#39;installé. Vous pouvez voir si le paquet est installé en vérifiant la
-    présence du programme ip sur votre système de firewall. Sous root,
-    utilisez la commande &#39;which&#39; pour rechercher le programme :</para>
+        <para>Cependant, la configuration de Shorewall générée par le
+        <emphasis>Partage de Connexion Internet Mandrake</emphasis> est
+        étrange et peut rendre confus l'utilisation de la suite de cette
+        documentation (elle paramètre deux zones; <varname>loc</varname> and
+        <varname>masq</varname> ou <varname>loc</varname> est vide; Cela est
+        en conflit avec la documentation basée sur une unique zone
+        <varname>loc</varname>). Nous recommandons qu'une fois configuré ce
+        partage, de désinstaller le paquet RPM de Shorewall
+        <trademark>Mandrake</trademark> et d'installer celui de la page de
+        <ulink url="download.htm">download</ulink> avant de suivre
+        l'utilisation de ce Guide.</para>
+      </tip><note>
+        <para><emphasis role="bold">Le problème précédent est résolu à partir
+        de la version 10.0 et supérieure de Mandrake.</emphasis></para>
+      </note> <caution>
+        <para>Si vous éditez vos fichiers de configuration sur un système
+        <trademark>Windows</trademark>, vous devez les sauver comme des
+        fichiers <trademark>Unix</trademark> si votre éditeur supporte cette
+        option sinon vous devez les convertir avec <command>dos2unix</command>
+        avant d'essayer de les utiliser. De la même manière, si vous copiez un
+        fichier de configuration depuis votre disque dur
+        <trademark>Windows</trademark> vers une disquette, vous devez lancer
+        <command>dos2unix</command> sur la copie avant de l'utiliser avec
+        Shorewall.<itemizedlist>
+            <listitem>
+              <para><ulink
+              url="http://www.simtel.net/pub/pd/51438.html"><trademark>Windows</trademark>
+              Version of <command>dos2unix</command></ulink></para>
+            </listitem>
 
-    <programlisting>     [root@gateway root]# which ip
-     /sbin/ip
-     [root@gateway root]#
-</programlisting>
+            <listitem>
+              <para><ulink
+              url="http://www.megaloman.com/%7Ehany/software/hd2u/">Linux
+              Version of <command>dos2unix</command></ulink></para>
+            </listitem>
+          </itemizedlist></para>
+      </caution></para>
 
-    <para>Je vous recommande dans un premier temps de parcourir tout le guide
-    pour vous familiariser avec ce qu&#39;il va se passer, et de revenir au
-    début en effectuant le changements dans votre configuration. Les points,
-    où les changements dans la configuration sont recommandées, sont signalés
-    par une <inlinegraphic fileref="images/BD21298_.gif" /></para>
+    <section>
+      <title>Pré-requis</title>
 
-    <caution>
-      <para>Si vous éditez vos fichiers de configuration sur un système
-      Windows, vous devez les sauver comme des fichiers Unix si votre éditeur
-      supporte cette option sinon vous devez les faire passer par dos2unix
-      avant d&#39;essayer de les utiliser. De la même manière, si vous copiez
-      un fichier de configuration depuis votre disque dur Windows vers une
-      disquette, vous devez lancer dos2unix sur la copie avant de
-      l&#39;utiliser avec Shorewall.</para>
+      <para>Shorewall a besoin que le package
+      <command>iproute</command>/<command>iproute2</command> soit installé
+      (avec la distribution <trademark>RedHat</trademark>, le package
+      s'appelle <command>iproute</command>). Vous pouvez vérifier si le
+      package est installé par la présence du programme <command>ip</command>
+      sur votre firewall. En tant que <systemitem
+      class="username">root</systemitem>, vous pouvez utiliser la commande
+      <command>which</command> pour cela: <programlisting>[root@gateway root]# <command>which ip</command>
+/sbin/ip
+[root@gateway root]#</programlisting>Je recommande en premier la lecture
+      complète du guide afin de se familiariser avec les tenants et
+      aboutissants puis de revenir sur les modifications de votre
+      configuration adapté à votre système.</para>
+    </section>
 
-      <itemizedlist>
-        <listitem>
-          <para><ulink url="http://www.simtel.net/pub/pd/51438.html">Windows
-          Version of dos2unix</ulink></para>
-        </listitem>
+    <section>
+      <title>Conventions</title>
 
-        <listitem>
-          <para><ulink url="http://www.megaloman.com/%7Ehany/software/hd2u/">Linux
-          Version of dos2unix</ulink></para>
-        </listitem>
-      </itemizedlist>
-    </caution>
+      <para>Les points ou les modifications s'imposent sont indiqués par
+      <inlinegraphic fileref="images/BD21298_.gif" format="GIF" />.</para>
+
+      <para>Les notes de configuration qui sont propres à LEAF/Bering sont
+      marqués avec <inlinegraphic fileref="images/leaflogo.gif"
+      format="GIF" />.</para>
+    </section>
+  </section>
+
+  <section>
+    <title>PPTP/ADSL</title>
+
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
+
+    <para>Si vous êtes équipé d'un modem <acronym>ADSL</acronym> et utilisez
+    <acronym>PPTP</acronym> pour communiquer avec un serveur à travers ce
+    modem, vous devez faire le changement <ulink
+    url="PPTP.htm#PPTP_ADSL">suivant</ulink> en plus de ceux ci-dessous.
+    <acronym>ADSL</acronym> avec <acronym>PPTP</acronym> est commun en Europe,
+    ainsi qu'en Australie.</para>
   </section>
 
   <section>
     <title>Les Concepts de Shorewall</title>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" />Les fichiers de
-    configuration pour Shorewall sont situés dans le répertoire /etc/shorewall
-    -- pour de simples paramétrages, vous n&#39;avez à faire qu&#39;avec
-    quelques un d&#39;entre eux comme décris dans ce guide. Après avoir <ulink
-    url="Install.htm">installé Shorewall</ulink>, <emphasis role="bold">téléchargez
-    <ulink url="http://www1.shorewall.net/pub/shorewall/Samples/">le
-    two-interface sample</ulink>, un-tarez le (tar -zxvf two-interface.tgz) et
-    copiez les fichiers vers /etc/shorewall (Ils remplaceront les fichiers de
-    même nom déjà existant dans /etc/shorewall installés lors de
-    l&#39;installation de Shorewall)</emphasis>.</para>
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
 
-    <para>Parallèlement à la description, je vous suggère de jeter un oeil à
-    ceux physiquement présents sur votre système -- chacun des fichiers
+    <para>Les fichiers de configuration pour Shorewall sont situés dans le
+    répertoire /etc/shorewall -- pour de simples paramétrages, vous n'avez à
+    faire qu'avec quelques un d'entre eux comme décris dans ce guide.<tip>
+        <para>Après avoir <ulink url="Install.htm">installé Shorewall</ulink>,
+        téléchargez <ulink
+        url="http://www1.shorewall.net/pub/shorewall/Samples/">l'exemple
+        two-interface</ulink>, décompressez le (<command>tar
+        <option>-zxvf</option>
+        <filename>two-interfaces.tgz</filename></command>) et copiez les
+        fichiers dans <filename class="directory">/etc/shorewall</filename>
+        <emphasis role="bold">(ces fichiers remplaceront les
+        initiaux)</emphasis>.</para>
+      </tip>Parallèlement à la présentation, je vous suggère de jeter un oeil
+    à ceux physiquement présents sur votre système -- chacun des fichiers
     contient des instructions de configuration détaillées et des entrées par
     défaut.</para>
 
-    <para>Shorewall voit le réseau où il tourne, comme un ensemble de zones.
-    Dans une configuration avec deux interfaces, les noms des zones suivantes
-    sont utilisés:</para>
+    <para>Shorewall voit le réseau où il fonctionne, comme un ensemble de
+    zones. Dans une configuration avec deux interfaces, les noms des zones
+    suivantes sont utilisés:<informaltable frame="all" pgwide="0">
+        <tgroup align="left" cols="2">
+          <thead valign="middle">
+            <row valign="middle">
+              <entry align="left">Name</entry>
 
-    <table>
-      <title>Zones</title>
+              <entry align="left">Description</entry>
+            </row>
+          </thead>
 
-      <tgroup cols="2">
-        <tbody>
-          <row>
-            <entry align="left"><emphasis role="bold">Zone</emphasis></entry>
+          <tbody valign="middle">
+            <row valign="middle">
+              <entry align="left"><varname>net</varname></entry>
 
-            <entry align="left" role="underline"><emphasis role="bold">Descriptions</emphasis></entry>
-          </row>
+              <entry align="left">The Internet</entry>
+            </row>
 
-          <row>
-            <entry>net</entry>
+            <row valign="middle">
+              <entry align="left"><varname>loc</varname></entry>
 
-            <entry>Internet</entry>
-          </row>
-
-          <row>
-            <entry>loc</entry>
-
-            <entry>Votre réseau local</entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para>Les zones de Shorewall sont définies dans /etc/shorewall/zones.</para>
+              <entry align="left">Your Local Network</entry>
+            </row>
+          </tbody>
+        </tgroup>
+      </informaltable>Les zones de Shorewall sont définies dans le fichier
+    <ulink url="Documentation.htm#Zones"><filename
+    class="directory">/etc/shorewall/</filename><filename>zones</filename></ulink>.</para>
 
     <para>Shorewall reconnaît aussi le système de firewall comme sa propre
-    zone - par défaut, le firewall est connu comme fw. Les règles à propos de
-    quel trafic autoriser, et de quel trafic interdire sont exprimées en terme
-    de zones.</para>
+    zone - par défaut, le firewall est connu comme <emphasis
+    role="bold"><varname>fw</varname></emphasis>.</para>
 
-    <itemizedlist>
-      <listitem>
-        <para>Vous exprimez votre politique par défaut pour les connexions
-        d&#39;une zone vers une autre zone dans le fichier <ulink
-        url="Documentation.htm#Policy">/etc/shorewall/policy</ulink> .</para>
-      </listitem>
+    <para>Les règles à propos du trafic à autoriser et à interdire sont
+    exprimées en terme de zones.<itemizedlist spacing="compact">
+        <listitem>
+          <para>Vous exprimez votre politique par défaut pour les connexions
+          d'une zone vers une autre zone dans le fichier <ulink
+          url="Documentation.htm#Policy"><filename
+          class="directory">/etc/shorewall/</filename><filename>policy</filename></ulink>.</para>
+        </listitem>
 
-      <listitem>
-        <para>Vous définissez les exceptions à ces politiques pas défaut dans
-        le fichier <ulink url="Documentation.htm#Rules">/etc/shorewall/rules</ulink>.</para>
-      </listitem>
-    </itemizedlist>
+        <listitem>
+          <para>Vous définissez les exceptions à ces politiques pas défaut
+          dans le fichier <ulink url="Documentation.htm#Rules"><filename
+          class="directory">/etc/shorewall/</filename><filename>rules</filename></ulink>.</para>
+        </listitem>
+      </itemizedlist>Pour chaque connexion demandant à entrer dans le
+    firewall, la requête est en premier lieu comparée par rapport au fichier
+    <filename
+    class="directory">/etc/shorewall/</filename><filename>rules</filename>. Si
+    aucune règle dans ce fichier ne correspond à la demande de connexion alors
+    la première politique dans le fichier <filename
+    class="directory">/etc/shorewall/</filename><filename>policy</filename>
+    qui y correspond sera appliquée. Si cette politique est
+    <varname>REJECT</varname> ou <varname>DROP</varname> la requête est dans
+    un premier temps comparée par rapport aux règles contenues dans le fichier
+    <filename
+    class="directory">/etc/shorewall/</filename><filename>common</filename>,
+    si ce fichier existe; sinon les régles dans le fichier <filename
+    class="directory">/etc/shorewall/</filename><filename>common.def</filename>
+    sont vérifiées.</para>
 
-    <para>Pour chaque connexion demandant à entrer dans le firewall, la
-    requête est en premier lieu comparée par rapport au fichier
-    /etc/shorewall/rules. Si aucune règle dans ce fichier ne correspond à la
-    demande de connexion alors la première politique dans le fichier
-    /etc/shorewall/policy qui y correspond sera appliquée. Si cette politique
-    est REJECT ou DROP la requête est dans un premier temps comparée par
-    rapport aux règles contenues dans /etc/shorewall/common. Le fichier
-    /etc/shorewall/policy inclue dans l&#39;archive d&#39;exemple
-    (two-interface) a les politiques suivantes:</para>
+    <para>Le fichier /etc/shorewall/policy inclus dans l'archive d'exemple
+    (two-interface) contient les politiques suivantes: <programlisting>#SOURCE    DEST        POLICY      LOG LEVEL    LIMIT:BURST
+loc        net         ACCEPT
+net        all         DROP        info
+all        all         REJECT      info</programlisting>Dans le fichier
+    d'exemple (two-interface), la ligne suivante est incluse mais elle est
+    commentée. Si vous voulez que votre firewall puisse avoir un accès complet
+    aux serveurs sur Internet, décommentez la ligne.<programlisting>#SOURCE    DEST        POLICY      LOG LEVEL    LIMIT:BURST
+fw         net         ACCEPT</programlisting> Les politiques précédentes
+    vont: <itemizedlist>
+        <listitem>
+          <para>Permettre toutes demandes de connexion depuis votre réseau
+          local vers Internet</para>
+        </listitem>
 
-    <table>
-      <title>/etc/shorewall/policy</title>
+        <listitem>
+          <para>Drop (ignorer) toutes les demandes de connexion depuis
+          l'Internet vers votre firewall ou votre réseau local</para>
+        </listitem>
 
-      <tgroup cols="5">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">SOURCE ZONE</emphasis></entry>
+        <listitem>
+          <para>Accept (accepter) facultativement toutes les demandes de
+          connexion de votre firewall vers l'Internet (si vous avez décommenté
+          la politique additionnelle)</para>
+        </listitem>
 
-            <entry><emphasis role="bold">DESTINATION ZONE</emphasis></entry>
+        <listitem>
+          <para>Reject (rejeter) toutes les autres requêtes de
+          connexion.</para>
+        </listitem>
+      </itemizedlist> <inlinegraphic fileref="images/BD21298_.gif"
+    format="GIF" /></para>
 
-            <entry><emphasis role="bold">POLICY</emphasis></entry>
-
-            <entry><emphasis role="bold">LOG LEVEL</emphasis></entry>
-
-            <entry><emphasis role="bold">LIMIT:BURST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>fw</entry>
-
-            <entry>net</entry>
-
-            <entry>ACCEPT</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-
-          <row>
-            <entry>net</entry>
-
-            <entry>all</entry>
-
-            <entry>DROP</entry>
-
-            <entry>info</entry>
-
-            <entry></entry>
-          </row>
-
-          <row>
-            <entry>all</entry>
-
-            <entry>all</entry>
-
-            <entry>REJECT</entry>
-
-            <entry>info</entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para>Dans le fichier d&#39;exemple (two-interface), la ligne suivante est
-    inclue mais elle est commentée. Si vous voulez que votre firewall puisse
-    avoir un accès complet aux serveurs sur Internet, décommentez la ligne.</para>
-
-    <table>
-      <title>/etc/shorewall/policy</title>
-
-      <tgroup cols="5">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">SOURCE ZONE</emphasis></entry>
-
-            <entry><emphasis role="bold">DESTINATION ZONE</emphasis></entry>
-
-            <entry><emphasis role="bold">POLICY</emphasis></entry>
-
-            <entry><emphasis role="bold">LOG LEVEL</emphasis></entry>
-
-            <entry><emphasis role="bold">LIMIT:BURST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>fw</entry>
-
-            <entry>net</entry>
-
-            <entry>accept</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para>Ces politiques vont :</para>
-
-    <orderedlist>
-      <listitem>
-        <para>permettre toutes demandes de connexion depuis le firewall vers
-        l&#39;Internet</para>
-      </listitem>
-
-      <listitem>
-        <para>drop (ignorer) toutes les demandes de connexion depuis
-        l&#39;Internet vers votre firewall</para>
-      </listitem>
-
-      <listitem>
-        <para>Facultativement accepter toutes les demandes de connexion de
-        votre firewall vers l&#39;Internet (si vous avez dé commenté la
-        politique additionnelle)</para>
-      </listitem>
-
-      <listitem>
-        <para>rejeter toutes les autres requêtes de connexion (Shorewall à
-        besoin de cette politique).</para>
-      </listitem>
-    </orderedlist>
-
-    <para><inlinegraphic fileref="images/BD21298_.gif" />A ce point, éditez
-    votre /etc/shorewall/policy et faites y les changements que vous désirez.</para>
+    <para>A ce point, éditez votre fichier <filename
+    class="directory">/etc/shorewall/</filename><filename>policy</filename> et
+    appliquer les changements que vous désirez.</para>
   </section>
 
   <section>
-    <title>Network Interfaces</title>
+    <title>Interfaces Réseau</title>
 
-    <graphic align="center" fileref="images/basics.png" />
+    <mediaobject>
+      <imageobject>
+        <imagedata align="center" fileref="images/basics.png" format="PNG" />
+      </imageobject>
+    </mediaobject>
 
     <para>Le firewall a deux interfaces réseau. Lorsque la connexion Internet
-    passe par un modem câble ou par un routeur ADSL (pas un simple modem),
-    l&#39;External Interface (interface externe) sera l&#39;adaptateur
-    ethernet (<emphasis role="bold">eth0</emphasis>) qui y est connecté à
-    moins que vous vous connectiez par Point-to-Point Protocol over Ethernet
-    (PPPoE) ou Point-to-Point TunnelingProtocol(PPTP) dans ce cas
-    l&#39;interface externe sera <emphasis role="bold">ppp0</emphasis>. Si
-    vous vous connectez par un simple modem (RTC), votre interface externe
-    sera aussi <emphasis role="bold">ppp0</emphasis>. Si vous vous connectez
-    en utilisant l&#39;ISDN (numéris), votre interface externe sera <emphasis
-    role="bold">ippp0</emphasis>.</para>
+    passe par un modem câble ou par un <quote>Routeur</quote><acronym> ADSL
+    </acronym>(pas un simple modem), l'<emphasis>Interface Externe</emphasis>
+    sera l'adaptateur ethernet qui y est connecté à ce <quote>Modem</quote>
+    (e.g., <filename class="devicefile">eth0</filename>) à moins de se que
+    vous vous connectiez par <emphasis> Point-to-Point Protocol </emphasis>
+    over Ethernet (<acronym>PPPoE</acronym>) ou <emphasis>Point-to-Point
+    Tunneling Protocol</emphasis> (<acronym>PPTP</acronym>) dans ce cas
+    l'interface externe sera (e.g., <filename
+    class="devicefile">ppp0</filename>). Si vous vous connectez par un simple
+    modem (<acronym>RTC</acronym>), votre interface externe sera aussi
+    <filename class="devicefile">ppp0</filename>. Si vous vous connectez en
+    utilisant l'<acronym>ISDN</acronym>, votre interface externe sera
+    <filename class="devicefile">ippp0</filename>.</para>
 
-    <para>Si votre interface vers l&#39;extérieur est <emphasis role="bold">ppp0</emphasis>
-    ou <emphasis role="bold">ippp0 </emphasis> alors vous mettrez CLAMPMSS=yes
-    dans /etc/shorewall/shorewall.conf.</para>
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
 
-    <para>Votre <emphasis>Internal Interface</emphasis> (interface vers votre
-    réseau local -&#62; LAN) sera un adaptateur Ethernet (eth1 ou eth0) et
-    sera connectée à un hub ou switch (ou un PC avec un câble croisé). Vos
-    autres ordinateurs seront connectés à ce même hub/switch.</para>
+    <para>Si votre interface vers l'extérieur est <emphasis
+    role="bold">ppp0</emphasis> ou <emphasis role="bold">ippp0</emphasis>
+    alors vous mettrez <varname>CLAMPMSS=yes</varname> dans le fichier
+    <filename
+    class="directory">/etc/shorewall/</filename><filename>shorewall.conf</filename>.</para>
 
-    <caution>
-      <para>Ne connectez pas l&#39;interface interne et externe sur le même
-      hub ou switch (même pour tester). Cela ne fonctionnera pas et ne croyez
-      pas que ce soit shorewall qui ne marche pas.</para>
-    </caution>
+    <para>Votre <emphasis>Interface Interne</emphasis> (interface vers votre
+    réseau local -&gt; LAN) sera un adaptateur Ethernet (<filename
+    class="devicefile">eth1</filename> or <filename
+    class="devicefile">eth0</filename>) et sera connectée à un hub ou switch
+    (câble droit). Vos autres ordinateurs seront connectés à ce même
+    hub/switch (note: Si vous avez un unique ordinateur, vous pouvez connecter
+    le firewall directement en utilisant un câble croisé). <warning>
+        <para>Ne connectez pas l'interface interne et externe sur le même hub
+        ou switch, sauf pour tester avec une version postérieure à Shorewall
+        1.4.7. Quand vous utilisez ces versions récentes, vous pouvez tester
+        ce type de configuration si vous spécifiez l'option arp_filter dans le
+        fichier <filename
+        class="directory">/etc/shorewall/</filename><filename>interfaces</filename>
+        pour toutes les interfaces connectées au hub/switch commun. Utiliser
+        une telle configuration avec un firewall en production est fortement
+        déconseillé.</para>
+      </warning> <inlinegraphic fileref="images/BD21298_.gif"
+    format="GIF" /></para>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" />Le fichier de
-    configuration d&#39;exemple pour deux interfaces suppose que votre
-    interface externe est eth0et que l&#39;interne est eth1. Si votre
-    configuration est différente, vous devrez modifier le fichier
-    /etc/shorewall/interfaces en conséquence. Tant que vous y êtes, vous
-    pourriez parcourir la liste des options qui sont spécifiées pour les
-    interfaces. Quelques trucs:</para>
-
-    <itemizedlist>
-      <listitem>
-        <para>Si votre interface vers l&#39;extérieur est <emphasis
-        role="bold">ppp0</emphasis> ou <emphasis role="bold">ippp0</emphasis>,
-        vous pouvez remplacer le &#34;detect&#34; dans la seconde colonne par
-        un &#34;-&#34;.</para>
-      </listitem>
-
-      <listitem>
-        <para>Si votre interface vers l&#39;extérieur est <emphasis
-        role="bold">ppp0</emphasis> ou <emphasis role="bold">ippp0</emphasis>
-        ou si vous avez une adresse IP statique, vous pouvez enlever
-        &#34;dhcp&#34; dans la liste des options.</para>
-      </listitem>
-    </itemizedlist>
+    <para>Le fichier de configuration d'exemple pour deux interfaces suppose
+    que votre interface externe est <filename
+    class="devicefile">eth0</filename> et que l'interface interne est
+    <filename class="devicefile">eth1</filename>. Si votre configuration est
+    différente, vous devrez modifier le fichier<filename class="directory">
+    /etc/shorewall/</filename><filename>interfaces</filename> en conséquence.
+    Tant que vous y êtes, vous pourriez parcourir la liste des options qui
+    sont spécifiées pour les interfaces. Quelques trucs:<tip>
+        <para>Si votre interface vers l'extérieur est <filename
+        class="devicefile">ppp0</filename> ou <filename
+        class="devicefile">ippp0</filename>, vous pouvez remplacer le detect
+        dans la seconde colonne par un <quote>-</quote> (sans les
+        quotes).</para>
+      </tip><tip>
+        <para>Si votre interface vers l'extérieur est <filename
+        class="devicefile">ppp0</filename> or <filename
+        class="devicefile">ippp0</filename> u si vous avez une adresse
+        <acronym>IP</acronym> statique, vous pouvez enlever
+        <varname>dhcp</varname> dans la liste des options .</para>
+      </tip><tip>
+        <para>Si votre interface est un bridge utilisant l'utilitaire
+        <command>brctl</command> alors vous devez ajouter l'option
+        <varname>routeback</varname> à la liste des options.</para>
+      </tip><tip>
+        <para>Si vous spécifiez <emphasis>norfc1918</emphasis> pour votre
+        interface externe, vous pouvez vérifier périodiquement le <ulink
+        url="errata.htm">Shorewall Errata</ulink> pour mettre à jour le
+        fichier <filename>/usr/share/shorewall/rfc1918</filename>. Sinon, vous
+        pouvez copier le fichier
+        <filename>/usr/share/shorewall/rfc1918</filename> vers
+        <filename>/etc/shorewall/rfc1918</filename> et <ulink
+        url="myfiles.htm#RFC1918">adapter votre fichier
+        <filename>/etc/shorewall/rfc1918</filename> comme je le
+        fais</ulink>.</para>
+      </tip></para>
   </section>
 
   <section>
     <title>Adresses IP</title>
 
-    <para>Avant d&#39;aller plus loin, nous devons dire quelques mots au sujet
-    de Internet Protocol (IP) addresses. Normalement, votre fournisseur
-    Internet (ISP) vous assignera une seule adresse IP (single PublicIP
-    address). Cette adresse peut être assignée par le Dynamic Host
-    Configuration Protocol(DHCP) ou lors de l&#39;établissement de votre
-    connexion lorsque vous vous connectez (modem standard) ou établissez votre
-    connexion PPP. Dans de rares cas , votre provider peut vous assigner une
-    adresse statique (staticIP address); cela signifie que vous devez
-    configurer l&#39;interface externe de votre firewall afin d&#39;utiliser
-    cette adresse de manière permanente. Votre adresse externe assignée, elle
-    va être partagée par tous vos systèmes lors de l&#39;accès à Internet.
-    Vous devrez assigner vos propres adresses dans votre réseau local (votre
-    interface interne sur le firewall ainsi que les autres ordinateurs). La
-    RFC 1918 réserve plusieurs plages d&#39;IP (PrivateIP address ranges) à
-    cette fin :</para>
+    <para>Avant d'aller plus loin, nous devons dire quelques mots au sujet des
+    adresses Internet Protocol (<acronym>IP</acronym>). Normalement, votre
+    fournisseur Internet <acronym>FAI</acronym> vous assignera une seule
+    adresse IP. Cette adresse peut être assignée par le Dynamic Host
+    Configuration Protocol (<acronym>DHCP</acronym>) ou lors de
+    l'établissement de votre connexion lorsque vous vous connectez (modem
+    standard) ou établissez votre connexion <acronym>PPP</acronym>. Dans de
+    rares cas , votre provider peut vous assigner une adresse statique
+    <acronym>IP</acronym> ; cela signifie que vous devez configurer
+    l'interface externe de votre firewall afin d'utiliser cette adresse de
+    manière permanente. Votre adresse externe assignée, elle va être partagée
+    par tous vos systèmes lors de l'accès à Internet. Vous devrez assigner vos
+    propres adresses dans votre réseau local (votre interface interne sur le
+    firewall ainsi que les autres ordinateurs). La <emphasis role="bold">RFC
+    1918</emphasis> réserve plusieurs plages d'adresses privées
+    <emphasis>Private</emphasis> <acronym>IP</acronym> à cet fin:
+    <programlisting>10.0.0.0    - 10.255.255.255
+172.16.0.0  - 172.31.255.255
+192.168.0.0 - 192.168.255.255</programlisting> <inlinegraphic
+    fileref="images/BD21298_.gif" format="GIF" /></para>
 
-    <programlisting>     10.0.0.0    - 10.255.255.255
-     172.16.0.0  - 172.31.255.255
-     192.168.0.0 - 192.168.255.255</programlisting>
+    <para>Avant de lancer Shorewall, regarder l'adresse IP de votre interface
+    externe, et si elle est dans les plages précédentes, vous devez enlever
+    l'option 'norfc1918' dans la ligne concernant l'interface externe dans le
+    fichier <filename
+    class="directory">/etc/shorewall/</filename><filename>interfaces</filename>.</para>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> Avant de lancer
-    Shorewall, vous devriez regarder l&#39;adresse IP de votre interface
-    externe, et si elle est dans les plages précédentes, vous devriez enlever
-    l&#39;option &#39;norfc1918&#39; dans la ligne concernant l&#39;interface
-    externe dans le fichier /etc/shorewall/interfaces. Vous devrez assigner
-    vos adresses depuis le même sous-réseau (sub-network/subnet). Pour ce
-    faire, nous pouvons considérer un sous-réseau dans une plage
-    d&#39;adresses x.y.z.0 - x.y.z.255. Chaque sous-réseau aura un masque
-    (Subnet Mask) de 255.255.255.0. L&#39;adresse x.y.z.0 est réservée comme
-    l&#39;adresse de sous-réseau (Subnet Address) et x.y.z.255 est réservée en
-    tant qu&#39;adresse de broadcast (Subnet Broadcast Address). Dans
-    Shorewall, un sous-réseau est décrit en utilisant <ulink
-    url="shorewall_setup_guide.htm#Subnets">la notation Classless InterDomain
-    Routing (CIDR)</ulink> qui consiste en l&#39;adresse du sous-réseau suivie
-    par &#34;/24&#34;. Le &#34;24&#34; se réfère au nombre consécutif de bits
-    marquant &#34;1&#34; dans la partie gauche du masque de sous-réseau.</para>
+    <para>Vous devrez assigner vos adresses depuis le même sous-réseau
+    (sub-network-subnet). Pour ce faire, nous pouvons considérer un
+    sous-réseau dans une plage d'adresses <varname>x.y.z.0 -
+    x.y.z.255</varname>. Chaque sous-réseau aura un masque (Subnet Mask)
+    <systemitem class="netmask">255.255.255.0</systemitem>. L'adresse
+    <varname>x.y.z.0</varname> est réservée comme l'adresse de sous-réseau
+    <emphasis>Subnet Address</emphasis> et <varname>x.y.z.255</varname> est
+    réservée en tant qu'adresse de broadcast <emphasis>Subnet Broadcast
+    Address</emphasis>. Dans Shorewall, un sous-réseau est décrit en utilisant
+    <ulink url="shorewall_setup_guide.htm#Subnets">Classless InterDomain
+    Routing (CIDR) notation</ulink> Il consiste en l'adresse du sous-réseau
+    suivie par<varname> /24</varname>. Le <quote>24</quote> se réfère au
+    nombre consécutif de bits marquant <quote>1</quote> dans la partie gauche
+    du masque de sous-réseau. <table>
+        <title>Un exemple de sous-réseau (sub-network) :</title>
 
-    <table>
-      <title>Un exemple de sous-réseau (sub-network) :</title>
+        <tgroup cols="2">
+          <colspec align="left" />
 
-      <tgroup cols="2">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">Plage:</emphasis></entry>
+          <tbody>
+            <row>
+              <entry>Range:</entry>
 
-            <entry>10.10.10.0 - 10.10.10.255</entry>
-          </row>
+              <entry><systemitem class="ipaddress">10.10.10.0</systemitem> -
+              <systemitem class="ipaddress">10.10.10.255</systemitem></entry>
+            </row>
 
-          <row>
-            <entry><emphasis role="bold">Subnet Address:</emphasis></entry>
+            <row>
+              <entry>Subnet Address:</entry>
 
-            <entry>10.10.10.0</entry>
-          </row>
+              <entry><systemitem
+              class="ipaddress">10.10.10.0</systemitem></entry>
+            </row>
 
-          <row>
-            <entry><emphasis role="bold">Broadcast Address:</emphasis></entry>
+            <row>
+              <entry>Broadcast Address:</entry>
 
-            <entry>10.10.10.255</entry>
-          </row>
+              <entry><systemitem
+              class="ipaddress">10.10.10.255</systemitem></entry>
+            </row>
 
-          <row>
-            <entry><emphasis role="bold">CIDR Notation:</emphasis></entry>
+            <row>
+              <entry>CIDR Notation:</entry>
 
-            <entry>10.10.10.0/24</entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
+              <entry><systemitem
+              class="ipaddress">10.10.10.0/24</systemitem></entry>
+            </row>
+          </tbody>
+        </tgroup>
+      </table>Il est de mise d'assigner l'interface interne à la première
+    adresse utilisable du sous-réseau (<systemitem
+    class="ipaddress">10.10.10.1</systemitem> dans l'exemple précédent) ou la
+    dernière adresse utilisable (<systemitem
+    class="ipaddress">10.10.10.254</systemitem>).</para>
 
-    <para>Il est de mise d&#39;assigner l&#39;interface interne (LAN) à la
-    première adresse utilisable du sous-réseau (10.10.10.1 dans l&#39;exemple
-    précédent) ou la dernière adresse utilisable (10.10.10.254). L&#39;un des
-    buts d&#39;un sous-réseau est de permettre à tous les ordinateurs dans le
-    sous-réseau de savoir avec quels autres ordinateurs ils peuvent
-    communiquer directement. Pour communiquer avec des systèmes en dehors du
-    sous-réseau, les ordinateurs envoient des paquets à travers le gateway
-    (routeur).</para>
+    <para>L'un des buts d'un sous-réseau est de permettre à tous les
+    ordinateurs dans le sous-réseau de savoir avec quels autres ordinateurs
+    ils peuvent communiquer directement. Pour communiquer avec des systèmes en
+    dehors du sous-réseau, les ordinateurs envoient des paquets à travers le
+    gateway (routeur).</para>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" />Vos ordinateurs en
-    local (ordinateur 1 et ordinateur 2 dans le diagramme) devraient être
-    configurés avec leur passerelle par défaut (default gateway) pointant sur
-    l&#39;adresse IP de l&#39;interface interne du firewall.</para>
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
 
-    <para>The foregoing short discussion barely scratches the surface
-    regarding subnetting and routing. If you are interested in learning more
-    about IP addressing and routing, I highly recommend &#34;IP Fundamentals:
-    What Everyone Needs to Know about Addressing &#38; Routing&#34;, Thomas A.
-    Maufer, Prentice-Hall, 1999, ISBN 0-13-975483-0.</para>
+    <para>Vos ordinateurs en local (ordinateur 1 et ordinateur 2 dans le
+    diagramme) doivent être configurés avec leur passerelle par défaut
+    (default gateway) pointant sur l'adresse <acronym>IP</acronym> de
+    l'interface interne du firewall.</para>
+
+    <para>La présentation précédente ne fait que d'effleurer la question des
+    sous réseaux et du routage. Si vous êtes intéressé pour apprendre plus sur
+    l'adressage <acronym>IP</acronym> et le routage, je recommande <quote>IP
+    Fundamentals: What Everyone Needs to Know about Addressing &amp;
+    Routing</quote>, Thomas A. Maufer, Prentice-Hall, 1999, ISBN 0-13-975483-0
+    (<ulink
+    url="http://www.phptr.com/browse/product.asp?product_id={58D4F6D4-54C5-48BA-8EDD-86EBD7A42AF6}">link</ulink>).</para>
 
     <para>Le reste de ce guide assumera que vous avez configuré votre réseau
-    comme montré ci-dessous :</para>
-
-    <graphic align="center" fileref="images/basics1.png" />
-
-    <para>La passerelle par défaut pour les ordinateurs 1 et 2 devrait être
-    10.10.10.254.</para>
+    comme montré ci-dessous :<mediaobject>
+        <imageobject>
+          <imagedata align="center" fileref="images/basics1.png" format="PNG" />
+        </imageobject>
+      </mediaobject> La passerelle par défaut pour les ordinateurs 1 et 2
+    devrait être <systemitem class="ipaddress">10.10.10.254</systemitem>.
+    <warning>
+        <para>Votre <acronym>FAI</acronym> (fournisseur d'accés) pourrait
+        assigner une adresse <emphasis role="bold">RFC 1918</emphasis> à votre
+        interface externe. Si cette adresse est le sous-réseau <systemitem
+        class="ipaddress">10.10.10.0/24</systemitem> alors vous aurez besoin
+        d'un sous-réseau DIFFERENT RFC 1918 pour votre réseau local.</para>
+      </warning></para>
   </section>
 
   <section>
@@ -485,70 +537,80 @@
     <para>Les adresses réservées par la RFC 1918 sont parfois désignées comme
     non-routables car les routeurs Internet (backbone) ne font pas circuler
     les paquets qui ont une adresse de destination appartenant à la RFC-1918.
-    Lorsqu&#39;un de vos systèmes en local (supposons l&#39;ordinateur1)
-    demande une connexion à un serveur par Internet, le firewall doit
-    appliquer un NAT (Network Address Translation). Le firewall ré écrit
-    l&#39;adresse source dans le paquet, et l&#39;a remplace par l&#39;adresse
-    de l&#39;interface externe du firewall; en d&#39;autres mots, le firewall
-    fait croire que c&#39;est lui même qui initie la connexion. Ceci est
-    nécessaire afin que l&#39;hôte de destination soit capable de renvoyer les
+    Lorsqu'un de vos systèmes en local (supposons l'ordinateur1) demande une
+    connexion à un serveur par Internet, le firewall doit appliquer un
+    <emphasis>Network Address Translation</emphasis> (<acronym>NAT</acronym>).
+    Le firewall réécrit l'adresse source dans le paquet, et l'a remplacé par
+    l'adresse de l'interface externe du firewall; en d'autres mots, le
+    firewall fait croire que c'est lui même qui initie la connexion. Ceci est
+    nécessaire afin que l'hôte de destination soit capable de renvoyer les
     paquets au firewall (souvenez vous que les paquets qui ont pour adresse de
     destination, une adresse réservée par la RFC 1918 ne pourront pas être
-    routés à travers Internet, donc l&#39;hôte Internet ne pourra adresser sa
-    réponse à l&#39;ordinateur 1). Lorsque le firewall reçoit le paquet de
-    réponse, il remet l&#39;adresse de destination à 10.10.10.1 et fait passer
-    le paquet vers l&#39;ordinateur 1. Sur les systèmes Linux, ce procédé est
-    souvent appelé de l&#39;IP Masquerading mais vous verrez aussi le terme de
-    Source Network Address Translation (SNAT) utilisé. Shorewall suit la
-    convention utilisée avec Netfilter:</para>
+    routés à travers Internet, donc l'hôte Internet ne pourra adresser sa
+    réponse à l'ordinateur 1). Lorsque le firewall reçoit le paquet de
+    réponse, il remet l'adresse de destination à <systemitem
+    class="ipaddress">10.10.10.1</systemitem> et fait passer le paquet vers
+    l'ordinateur 1.</para>
 
-    <itemizedlist>
-      <listitem>
-        <para><emphasis>Masquerade</emphasis> désigne le cas ou vous laissez
-        votre firewall détecter automatiquement l&#39;adresse de
-        l&#39;interface externe.</para>
-      </listitem>
+    <para>Sur les systèmes Linux, ce procédé est souvent appelé <emphasis>IP
+    Masquerading</emphasis> mais vous verrez aussi le terme de
+    <emphasis>Source Network Address Translation</emphasis>
+    (<acronym>SNAT</acronym>). Shorewall suit la convention utilisée avec
+    Netfilter:<itemizedlist>
+        <listitem>
+          <para><emphasis>Masquerade</emphasis> désigne le cas ou vous laissez
+          votre firewall détecter automatiquement l'adresse de l'interface
+          externe.</para>
+        </listitem>
 
-      <listitem>
-        <para><emphasis>SNAT</emphasis> désigne le cas où vous spécifiez
-        explicitement l&#39;adresse source des paquets sortant de votre réseau
-        local.</para>
-      </listitem>
-    </itemizedlist>
+        <listitem>
+          <para><emphasis><acronym>SNAT</acronym></emphasis> désigne le cas où
+          vous spécifiez explicitement l'adresse source des paquets sortant de
+          votre réseau local.</para>
+        </listitem>
+      </itemizedlist>Sous Shorewall, autant le
+    <emphasis>Masquerading</emphasis> et le
+    <emphasis><acronym>SNAT</acronym></emphasis> sont configurés avec des
+    entrées dans le fichier <filename
+    class="directory">/etc/shorewall/</filename><filename>masq</filename>.
+    Vous utiliserez normalement le Masquerading si votre adresse
+    <acronym>IP</acronym> externe est dynamique, et <acronym>SNAT</acronym> si
+    l'adresse <acronym>IP</acronym> est statique.</para>
 
-    <para>Sous Shorewall, autant le Masquerading que le SNAT sont configuré
-    avec des entrés dans le fichier /etc/shorewall/masq. Vous utiliserez
-    normalement le Masquerading si votre adresse IP externe est dynamique, et
-    SNAT si elle est statique.</para>
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" />Si votre interface
-    externe du firewall est eth0, vous n&#39;avez pas besoin de modifier le
-    fichier fourni avec l&#39;exemple. Dans le cas contraire, éditez
-    /etc/shorewall/masq et changez la première colonne par le nom de votre
-    interface externe, et la seconde colonne par le nom de votre interface
-    interne.</para>
+    <para>Si votre interface externe du firewall est <filename
+    class="devicefile">eth0</filename>, vous n'avez pas besoin de modifier le
+    fichier fourni avec l'exemple. Dans le cas contraire, éditez <filename
+    class="directory">/etc/shorewall/</filename><filename>masq</filename> et
+    changer la première colonne par le nom de votre interface externe, et la
+    seconde colonne par le nom de votre interface interne.</para>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" />Si votre IP externe
-    est statique, vous pouvez la mettre dans la troisième colonne dans
-    /etc/shorewall/masq si vous le désirez, de toutes façons votre firewall
-    fonctionnera bien si vous laissez cette colonne vide. Le fait de mettre
-    votre IP statique dans la troisième colonne permet un traitement des
-    paquets sortant un peu plus efficace.</para>
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" />Si vous utilisez les
-    paquets Debian, vérifiez que votre fichier de configuration shorewall.conf
-    contient bien les valeurs suivantes, si elles n&#39;y sont pas faite les
-    changements nécessaires:</para>
+    <para>Si votre adresse externe <acronym>IP</acronym> est statique, vous
+    pouvez la mettre dans la troisième colonne dans <filename
+    class="directory">/etc/shorewall/</filename><filename>masq</filename> si
+    vous le désirez, de toutes façons votre firewall fonctionnera bien si vous
+    laissez cette colonne vide. Le fait de mettre votre adresse
+    <acronym>IP</acronym> statique dans la troisième colonne permet un
+    traitement des paquets sortant un peu plus efficace.</para>
 
-    <itemizedlist>
-      <listitem>
-        <para>NAT_ENABLED=Yes</para>
-      </listitem>
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
 
-      <listitem>
-        <para>IP_FORWARDING=On</para>
-      </listitem>
-    </itemizedlist>
+    <para>Si vous utilisez les paquets Debian, vérifiez que votre fichier de
+    configuration <filename>shorewall.conf</filename> contient bien les
+    valeurs suivantes, si elles n'y sont pas faite les changements
+    nécessaires:<itemizedlist spacing="compact">
+        <listitem>
+          <para><varname>NAT_ENABLED=Yes</varname> (Shorewall versions earlier
+          than 1.4.6)</para>
+        </listitem>
+
+        <listitem>
+          <para><varname>IP_FORWARDING=On</varname></para>
+        </listitem>
+      </itemizedlist></para>
   </section>
 
   <section>
@@ -556,572 +618,407 @@
 
     <para>Un de nos buts est de , peut être, faire tourner un ou plusieurs
     serveurs sur nos ordinateurs locaux. Parce que ces ordinateurs on une
-    adresse RFC-1918, il n&#39; est pas possible pour les clients sur Internet
-    de se connecter directement à eux. Il est nécessaire à ces clients
-    d&#39;adresser leurs demandes de connexion au firewall qui ré écrit
-    l&#39;adresse de destination de votre serveur, et fait passer le paquet à
-    celui-ci. Lorsque votre serveur répond, le firewall applique
-    automatiquement un SNAT pour ré écrire l&#39;adresse source dans la
+    adresse RFC-1918, il n' est pas possible pour les clients sur Internet de
+    se connecter directement à eux. Il est nécessaire à ces clients d'adresser
+    leurs demandes de connexion au firewall qui réécrit l'adresse de
+    destination de votre serveur, et fait passer le paquet à celui-ci. Lorsque
+    votre serveur répond, le firewall applique automatiquement un
+    <acronym>SNAT</acronym> pour réécrire l'adresse source dans la
     réponse.</para>
 
-    <para>Ce procédé est appelé Port Forwarding ou Destination Network Address
-    Translation(DNAT). Vous configurez le port forwarding en utilisant les
-    règles DNAT dans le fichier /etc/shorewall/rules.</para>
+    <para>Ce procédé est appelé <emphasis>Port Forwarding</emphasis> or
+    <emphasis>Destination Network Address Translation</emphasis>
+    (<acronym>DNAT</acronym>). Vous configurez le port forwarding en utilisant
+    les règles <acronym>DNAT</acronym> dans le fichier <filename
+    class="directory">/etc/shorewall/</filename><filename>rules</filename>.</para>
 
-    <para>La forme générale d&#39;une simple règle de port forwarding dans
-    /etc/shorewall/rules est:</para>
+    <para>La forme générale d'une simple règle de port forwarding dans
+    <filename
+    class="directory">/etc/shorewall/</filename><filename>rules</filename>
+    est: <programlisting>#ACTION   SOURCE    DEST                                          PROTO      DEST PORT(S)
+DNAT      net       loc:<emphasis>&lt;server local ip address&gt;</emphasis>[:<emphasis>&lt;server port&gt;</emphasis>] <emphasis>&lt;protocol&gt;</emphasis> <emphasis>&lt;port&gt;</emphasis></programlisting>
+    <example label="1">
+        <title>Web Server</title>
 
-    <table>
-      <title>/etc/shorewall/rules</title>
+        <para>Vous faites tourner un serveur Web sur l'ordinateur 2 et vous
+        voulez faire passer les requêtes <acronym>TCP</acronym> sur le port 80
+        à ce système : <programlisting>#ACTION   SOURCE    DEST             PROTO     DEST PORT(S)
+DNAT      net       loc:10.10.10.2   tcp       80</programlisting></para>
+      </example> <example label="2">
+        <title>FTP Server</title>
 
-      <tgroup cols="7">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">ACTION</emphasis></entry>
+        <para>Vous faites tourner un serveur <acronym>FTP</acronym>sur
+        l'ordinateur 1 et vous voulez rediriger les requêtes
+        <acronym>TCP</acronym> entrantes sur le port 21 à ce système:
+        <programlisting>#ACTION    SOURCE    DEST            PROTO     DEST PORT(S)
+DNAT       net       loc:10.10.10.1  tcp       21</programlisting>Concernant
+        <acronym>FTP</acronym>, vous aurez aussi besoin d'avoir le support
+        <acronym>FTP</acronym> et le <acronym>NAT</acronym> dans votre kernel.
+        Pour les fournisseurs de kernels, cela veut dire que les modules
+        <filename class="libraryfile">ip_conntrack_ftp</filename> et <filename
+        class="libraryfile">ip_nat_ftp</filename> doivent être disponibles.
+        Shorewall chargera automatiquement ces modules si ils sont disponibles
+        à leur place habituelle <filename
+        class="directory">/lib/modules/&lt;kernel
+        version&gt;/kernel/net/ipv4/netfilter</filename>.</para>
+      </example> Deux points importants à garder en mémoire :<itemizedlist>
+        <listitem>
+          <para>Vous devez tester la règle précédente depuis un client à
+          l'extérieur de votre réseau local (c.a.d., ne pas tester depuis un
+          navigateur tournant sur l'ordinateur 1 ou 2 ou sur le firewall). Si
+          vous voulez avoir la possibilité d'accéder à votre serveur web et/ou
+          <acronym>FTP</acronym> de l'intérieur de votre firewall en utilisant
+          l'adresse de l'interface externe <acronym>IP</acronym>, regardez
+          <ulink url="FAQ.htm#faq2">Shorewall FAQ #2</ulink>.</para>
+        </listitem>
 
-            <entry><emphasis role="bold">SOURCE</emphasis></entry>
+        <listitem>
+          <para>Quelques fournisseurs Internet (Provider/ISP) bloquent les
+          requêtes de connexion entrantes sur le port 80. Si vous avez des
+          problèmes pour vous connecter à votre serveur web, essayez la règle
+          suivante et connectez vous sur le port 5000 (c.a.d., connectez vous
+          à <literal>http://w.x.y.z:5000 ou w.x.y.z</literal> est votre IP
+          externe).</para>
 
-            <entry><emphasis role="bold">DESTINATION</emphasis></entry>
+          <programlisting>#ACTION    SOURCE    DEST               PROTO     DEST PORT(S)
+DNAT       net       loc:10.10.10.2:80  tcp       5000</programlisting>
+        </listitem>
+      </itemizedlist> <inlinegraphic fileref="images/BD21298_.gif"
+    format="GIF" /></para>
 
-            <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-            <entry><emphasis role="bold">PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>DNAT</entry>
-
-            <entry>net</entry>
-
-            <entry>loc:<emphasis>&#60;server local ip address&#62;
-            [:&#60;server port&#62;]</emphasis></entry>
-
-            <entry><emphasis>&#60;protocol&#62;</emphasis></entry>
-
-            <entry><emphasis>&#60;port&#62;</emphasis></entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para>Exemple - vous faites tourner un serveur Web sur l&#39;ordinateur 2
-    et vous voulez faire passer les requêtes TCP sur le port 80 à ce système :</para>
-
-    <table>
-      <title>/etc/shorewall/rules</title>
-
-      <tgroup cols="7">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-            <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-            <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-            <entry><emphasis role="bold">PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>DNAT</entry>
-
-            <entry>net</entry>
-
-            <entry>loc:10.10.10.2</entry>
-
-            <entry>tcp</entry>
-
-            <entry>80</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para>Deux points importants à garder en mémoire :</para>
-
-    <itemizedlist>
-      <listitem>
-        <para>Vous devez tester la règle précédente depuis un client à
-        l&#39;extérieur de votre réseau local (c.a.d., ne pas tester depuis un
-        navigateur tournant sur l&#39;ordinateur 1 ou 2 ou sur le firewall).
-        Si vous voulez avoir la possibilité d&#39;accéder à votre serveur web
-        en utilisant l&#39;adresse IP externe de votre firewall, regardez
-        <ulink url="FAQ.htm#faq2">Shorewall FAQ #2</ulink>.</para>
-      </listitem>
-
-      <listitem>
-        <para>Quelques fournisseurs Internet (Provider/ISP) bloquent les
-        requêtes entrantes de connexion sur le port 80. Si vous avez des
-        problèmes à vous connecter à votre serveur web, essayez la règle
-        suivante et connectez vous sur le port 5000.</para>
-
-        <table>
-          <title>/etc/shorewall/rules</title>
-
-          <tgroup cols="7">
-            <tbody>
-              <row>
-                <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-                <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-                <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-                <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-                <entry><emphasis role="bold">PORT</emphasis></entry>
-
-                <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-                <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-              </row>
-
-              <row>
-                <entry>DNAT</entry>
-
-                <entry>net</entry>
-
-                <entry>loc:10.10.10.2:80</entry>
-
-                <entry>tcp</entry>
-
-                <entry>5000</entry>
-
-                <entry></entry>
-
-                <entry></entry>
-              </row>
-            </tbody>
-          </tgroup>
-        </table>
-      </listitem>
-    </itemizedlist>
-
-    <para><inlinegraphic fileref="images/BD21298_.gif" />A ce point, modifiez
-    /etc/shorewall/rules pour ajouter les règles DNAT dont vous avez besoin.</para>
+    <para>A ce point, modifiez <filename
+    class="directory">/etc/shorewall/</filename><filename>rules</filename>
+    pour ajouter les règles <acronym>DNAT</acronym> dont vous avez
+    besoin.</para>
   </section>
 
   <section>
     <title>Domain Name Server (DNS)</title>
 
-    <para>Normalement, quand vous vous connectez à votre fournisseur (ISP),
-    une partie consiste à obtenir votre adresse IP, votre DNS pour le firewall
-    (Domain Name Service) est configuré automatiquement (c.a.d.,le fichier
-    /etc/resolv.conf a été écrit). Il arrive que votre provider vous donne une
-    paire d&#39;adresse IP pour les DNS (name servers) afin que vous
-    configuriez manuellement votre serveur de nom primaire et secondaire. La
-    manière dont le DNS est configuré sur votre firewall est de votre
-    responsabilité. Vous pouvez procéder d&#39;une de ses deux façons :</para>
+    <para>Normalement, quand vous vous connectez à votre fournisseur
+    (FAI/ISP), une partie consiste à obtenir votre adresse IP, votre
+    <emphasis>Domain Name Service</emphasis> (<acronym>DNS</acronym>) pour le
+    firewall est configuré automatiquement (c.a.d.,le fichier <filename
+    class="directory">/etc/</filename><filename>resolv.conf</filename> sera
+    mis à jour). Il arrive que votre provider vous donne une paire d'adresse
+    <acronym>IP</acronym> pour les serveurs <acronym>DNS</acronym> afin que
+    vous configuriez manuellement votre serveur de nom primaire et secondaire.
+    La manière dont le <acronym>DNS</acronym> est configuré sur votre firewall
+    est de votre responsabilité. Vous pouvez procéder d'une de ses deux façons
+    :<itemizedlist spacing="compact">
+        <listitem>
+          <para>Vous pouvez configurer votre système interne pour utiliser les
+          noms de serveurs de votre provider. Si votre fournisseur vous donne
+          les adresses de leurs serveurs ou si ces adresses sont disponibles
+          sur leur site web, vous pouvez configurer votre système interne afin
+          de les utiliser. Si cette information n' est pas disponible,
+          regardez dans <filename
+          class="directory"><filename>/etc/</filename></filename><filename>resolv.conf</filename>
+          sur votre firewall -- les noms des serveurs sont donnés dans
+          l'enregistrement "nameserver" dans ce fichier.</para>
+        </listitem>
+
+        <listitem>
+          <para><anchor id="cachingdns" />Vous pouvez configurer un cache dns
+          <emphasis>Caching Name Server</emphasis> sur votre firewall.
+          <trademark>Red Hat</trademark> a un <acronym>RPM</acronym> pour
+          serveur dns de cache (le <acronym>RPM</acronym> à besoin aussi du
+          paquetage <command>bind </command><acronym>RPM</acronym>) et pour
+          les utilisateurs de Bering, il y a <command>dnscache.lrp</command>.
+          Si vous adoptez cette approche, vous configurez votre système
+          interne pour utiliser le firewall lui même comme étant le seul
+          serveur de nom primaire. Vous pouvez utiliser l'adresse
+          <acronym>IP</acronym> interne du firewall (<systemitem
+          class="ipaddress">10.10.10.254</systemitem> dans l'exemple
+          précédent) pour l'adresse de serveur de nom. Pour permettre à vos
+          systèmes locaux de discuter avec votre serveur cache de nom, vous
+          devez ouvrir le port 53 (à la fois <acronym>UDP</acronym> and
+          <acronym>TCP</acronym>) sur le firewall vers le réseau local; vous
+          ferez ceci en ajoutant les règles suivantes dans <filename
+          class="directory">/etc/shorewall/</filename><filename>rules</filename>.
+          <programlisting>#ACTION    SOURCE    DEST               PROTO     DEST PORT(S)
+AllowDNS   loc       fw</programlisting></para>
+        </listitem>
+      </itemizedlist></para>
+  </section>
+
+  <section>
+    <title>Autres Connexions</title>
+
+    <para>Les fichiers exemples inclus dans l'archive (two-interface)
+    contiennent les règles suivantes :<programlisting>#ACTION    SOURCE    DEST               PROTO     DEST PORT(S)
+AllowDNS   fw        net</programlisting>Ces règles autorisent l'accès
+    <acronym>DNS</acronym> à partir de votre firewall et peuvent être enlevées
+    si vous avez décommenté la ligne dans <filename
+    class="directory">/etc/shorewall/</filename><filename>policy</filename>
+    autorisant toutes les connexions depuis le firewall vers Internet.</para>
+
+    <para>Dans la régle ci-dessus, <quote>AllowDNS</quote> est un exemple
+    d'action prédéfinie <emphasis>defined action</emphasis>. Shorewall inclus
+    un nombre d'actions prédéfinies et vous pouvez <ulink
+    url="User_defined_Actions.html">ajouter les vôtres</ulink>. Pour voir les
+    actions comprises avec votre version de Shorewall, regardez dans le
+    fichier <filename>/etc/shorewall/actions.std</filename>. Le nom de celles
+    qui acceptent des connexions débutent par <quote>Allow</quote>.</para>
+
+    <para>Vous n'êtes pas obligés d'utiliser des actions prédéfinies quand
+    vous ajoutez des régles dans le fichier
+    <filename>/etc/shorewall/rules</filename>; les régles générées par
+    Netfilter sont plus performantes sans actions prédéfinies. La régle vue
+    ci-dessus peut aussi être codé comme cela:<programlisting>#ACTION    SOURCE    DEST               PROTO     DEST PORT(S)
+ACCEPT     fw        net                udp       53
+ACCEPT     fw        net                tcp       53</programlisting></para>
+
+    <para>Au cas ou Shorewall n'inclue pas d'actions définies qui vous
+    conviennent, vous pouvez les définir vous même ou coder directement les
+    régles.</para>
+
+    <para>L'exemple inclus aussi: <programlisting>#ACTION    SOURCE    DEST               PROTO     DEST PORT(S)
+AllowSSH   loc       fw</programlisting>Cette régle autorise un serveur
+    <acronym>SSH</acronym> sur votre firewall et la connexion à celui-ci
+    depuis votre réseau local.</para>
+
+    <para>Si vous souhaitez autoriser d'autre connexions de votre firewall
+    vers d'autres systèmes, la sysntaxe générale utilisant l'action type
+    <quote>Allow</quote> est: <programlisting>#ACTION    SOURCE    DEST               PROTO      DEST PORT(S)
+&lt;action&gt;   fw        <emphasis>&lt;destination zone&gt;</emphasis></programlisting>La
+    syntaxe générale lorsqu'on utilise pas des actions prédéfinies
+    est:<programlisting>#ACTION    SOURCE    DEST               PROTO      DEST PORT(S)
+ACCEPT     fw        <emphasis>&lt;destination zone&gt; &lt;protocol&gt; &lt;port&gt;</emphasis></programlisting><example>
+        <title>Serveur Web sur le Firewall</title>
+
+        <para>Vous voulez ouvrir un serveur Web Server sur votre firewall au
+        réseau local et externe: <programlisting>#ACTION    SOURCE    DEST               PROTO     DEST PORT(S)
+AllowWeb   net       fw
+AllowWeb   loc       fw</programlisting>Ces deux régles viennent évidemment
+        s'ajouter à celles listées sous <quote><link linkend="cachingdns">Vous
+        pouvez configurer un cache dns sur votre
+        firewall</link></quote>.</para>
+      </example>Si vous ne savez pas quel port(s) et protocole(s) requièrent
+    une application particulière, vous pouvez regarder <ulink
+    url="ports.htm">ici</ulink>.<important>
+        <para>Je ne recommande pas d'autoriser <command>telnet</command>
+        vers/de l'Internet parce qu'il utilise du texte en clair (même pour le
+        login!). Si vous voulez un accés shell à votre firewall, utilisez
+        <acronym>SSH</acronym>:</para>
+
+        <programlisting>#ACTION    SOURCE    DEST               PROTO     DEST PORT(S)
+AllowSSH   net       fw</programlisting>
+      </important> <inlinegraphic fileref="images/leaflogo.gif"
+    format="GIF" />Les utilisateurs de Bering pourront ajouter les deux régles
+    suivantes pour être compatible avec la configuration du firewall Jacques's
+    Shorewall.<programlisting>#ACTION    SOURCE    DEST    PROTO     DEST PORT(S)
+ACCEPT     loc       fw      udp       53          #Allow DNS Cache to work
+ACCEPT     loc       fw      tcp       80          #Allow Weblet to work</programlisting>
+    <inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
+
+    <para>Maintenant, éditez votre fichier de configuration <filename
+    class="directory">/etc/shorewall/</filename><filename>rules</filename>
+    pour ajouter, modifier ou supprimer les autres connexions voulues.</para>
+  </section>
+
+  <section>
+    <title>Quelques Points à Garder en Mémoire</title>
 
     <itemizedlist>
       <listitem>
-        <para>Vous pouvez configurer votre système interne pour utiliser les
-        noms de serveurs de votre provider. Si votre fournisseur vous donne
-        les adresses de leurs serveurs ou si ces adresses sont disponibles sur
-        leur site web, vous pouvez configurer votre système interne afin de
-        les utiliser. Si cette information n&#39; est pas disponible, regardez
-        dans /etc/resolv.conf sur votre firewall -- les noms des serveurs sont
-        donnés dans l&#39;enregistrement &#34;nameserver&#34; dans ce fichier.</para>
+        <para><emphasis role="bold">Vous ne pouvez tester votre firewall de
+        l'intérieur de votre réseau</emphasis>. Car les requêtes que vous
+        envoyez à votre adresse IP ne veux pas dire qu'elle seront associées à
+        votre interface externe ou la zone <quote>net</quote>. Tout trafic
+        généré par le réseau local sera traité par loc-&gt;fw.</para>
       </listitem>
 
       <listitem>
-        <para><inlinegraphic fileref="images/BD21298_.gif" />Vous pouvez
-        configurer un cache dns (Caching Name Server) sur votre firewall. Red
-        Hat a un RPM pour mettre en cache un serveur de nom (le RPM requis
-        aussi le RPM &#39;bind&#39;) et pour les utilisateurs de Bering, il y
-        a dnscache.lrp. Si vous adoptez cette approche, vous configurez votre
-        système interne pour utiliser le firewall lui même comme étant le seul
-        serveur de nom primaire. Vous pouvez utiliser l&#39;adresse IP interne
-        du firewall (10.10.10.254 dans l&#39;exemple) pour l&#39;adresse de
-        serveur de nom. Pour permettre à vos systèmes locaux de discuter avec
-        votre serveur cache de nom, vous devez ouvrir le port 53 (UDP ET TCP)
-        sur le firewall vers le réseau local; vous ferez ceci en ajoutant les
-        règles suivantes dans /etc/shorewall/rules.</para>
+        <para><emphasis role="bold">Les adresses IP sont des propriétés des
+        systèmes, pas des interfaces</emphasis>. C'est une erreur de croire
+        que votre firewall est capable de renvoyer des paquets simplement
+        parce que vous pouvez faire un ping sur l'adresse IP de toutes les
+        interfaces du firewall depuis le réseau local. La seul conclusion est
+        de conclure que le lien entre le réseau local et le firewall est
+        établi et que vous avez probablement la bonne adresse de la passerelle
+        sur votre système.</para>
+      </listitem>
 
-        <table>
-          <title>/etc/shorewall/rules</title>
+      <listitem>
+        <para><emphasis role="bold">Toutes les adresses IP configurées sur le
+        firewall sont dans la zone $FW (fw)</emphasis>. Si 192.168.1.254 est
+        l'adresse IP de votre interface interne, alors vous pouvez écrire
+        <quote><emphasis role="bold">$FW:192.168.1.254</emphasis></quote> dans
+        une régle mais vous ne devez pas écrire <quote><emphasis
+        role="bold">loc:192.168.1.254</emphasis></quote>. C'est aussi un
+        non-sens d'ajouter 192.168.1.254 à la zone <emphasis
+        role="bold">loc</emphasis> en utilisant une entrée dans
+        <filename>/etc/shorewall/hosts</filename>.</para>
+      </listitem>
 
-          <tgroup cols="7">
-            <tbody>
-              <row>
-                <entry><emphasis role="bold">ACTION</emphasis></entry>
+      <listitem>
+        <para><emphasis role="bold">Les paquets de retour (Reply) ne suivent
+        PAS automatiquement le chemin inverse de la requête
+        d'origine</emphasis>. Tous les paquets sont routés en se référant à la
+        table de routage respective de chaque hôte à chaque étape du trajet.
+        C'est commun chez ceux qui installent le firewall Shorewall en
+        parallèle à une passerelle existante et essayent d'utiliser DNAT dans
+        Shorewall sans changer la passerelle par défaut sur les systèmes
+        recevant le retour des requêtes. Les requêtes dont, à travers le
+        firewall Shorewall, l'adresse de destination IP est réécrite mais la
+        réponse va directement vers l'ancienne passerelle.</para>
+      </listitem>
 
-                <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-                <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-                <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-                <entry><emphasis role="bold">PORT</emphasis></entry>
-
-                <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-                <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-              </row>
-
-              <row>
-                <entry>ACCEPT</entry>
-
-                <entry>loc</entry>
-
-                <entry>fw</entry>
-
-                <entry>udp</entry>
-
-                <entry>53</entry>
-
-                <entry></entry>
-
-                <entry></entry>
-              </row>
-
-              <row>
-                <entry>ACCEPT</entry>
-
-                <entry>loc</entry>
-
-                <entry>fw</entry>
-
-                <entry>tcp</entry>
-
-                <entry>53</entry>
-
-                <entry></entry>
-
-                <entry></entry>
-              </row>
-            </tbody>
-          </tgroup>
-        </table>
+      <listitem>
+        <para><emphasis role="bold">Shorewall lui-même n'a aucune notion du
+        dedans et du dehors</emphasis>. Ces concepts dépendent de la façon
+        dont Shorewall est configuré.</para>
       </listitem>
     </itemizedlist>
   </section>
 
   <section>
-    <title>Autres connexions</title>
-
-    <para>Les fichiers exemples inclus dans l&#39;archive (two-interface)
-    contiennent les règles suivantes :</para>
-
-    <table>
-      <title>/etc/shorewall/rules</title>
-
-      <tgroup cols="7">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-            <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-            <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-            <entry><emphasis role="bold">PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>ACCEPT</entry>
-
-            <entry>fw</entry>
-
-            <entry>net</entry>
-
-            <entry>udp</entry>
-
-            <entry>53</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-
-          <row>
-            <entry>ACCEPT</entry>
-
-            <entry>fw</entry>
-
-            <entry>net</entry>
-
-            <entry>tcp</entry>
-
-            <entry>53</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para>Ces règles autorisent l&#39;accès DNS à partir de votre firewall et
-    peuvent être enlevées si vous avez dé commenté la ligne dans
-    /etc/shorewall/policy autorisant toutes les connexions depuis le firewall
-    vers Internet. Les exemples contiennent aussi :</para>
-
-    <table>
-      <title>/etc/shorewall/rules</title>
-
-      <tgroup cols="7">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-            <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-            <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-            <entry><emphasis role="bold">PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>ACCEPT</entry>
-
-            <entry>loc</entry>
-
-            <entry>fw</entry>
-
-            <entry>tcp</entry>
-
-            <entry>22</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para>SCette règle vous autorise à faire tourner un serveur SSH sur votre
-    firewall et à vous y connecter depuis votre réseau local. Si vous voulez
-    permettre d&#39;autres connexions entre votre firewall et d&#39;autres
-    systèmes, la forme générale est :</para>
-
-    <table>
-      <title>/etc/shorewall/rules</title>
-
-      <tgroup cols="7">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-            <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-            <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-            <entry><emphasis role="bold">PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>ACCEPT</entry>
-
-            <entry><emphasis>&#60;source zone&#62;</emphasis></entry>
-
-            <entry><emphasis>&#60;destination zone&#62;</emphasis></entry>
-
-            <entry><emphasis>&#60;protocol&#62;</emphasis></entry>
-
-            <entry><emphasis>&#60;port&#62;</emphasis></entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para>Exemple - Vous voulez faire tourner un serveur Web sur votre
-    firewall :</para>
-
-    <table>
-      <title>/etc/shorewall/rules</title>
-
-      <tgroup cols="7">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-            <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-            <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-            <entry><emphasis role="bold">PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>ACCEPT</entry>
-
-            <entry>loc</entry>
-
-            <entry>fw</entry>
-
-            <entry>tcp</entry>
-
-            <entry>80</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-
-          <row>
-            <entry>ACCEPT</entry>
-
-            <entry>net</entry>
-
-            <entry>fw</entry>
-
-            <entry>tcp</entry>
-
-            <entry>80</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para>Ces deux règles bien sûr viennent s&#39;ajouter aux règles décrites
-    précédemment dans &#34;Vous pouvez configurer un cache dns (Caching Name
-    Server) sur votre firewall&#34;</para>
-
-    <para>Si vous ne savez pas quel port et quel protocole une application
-    particulière utilise, regardez <ulink url="ports.htm">ici</ulink>.</para>
-
-    <para>Important: Je ne vous recommande pas de permettre le telnet depuis
-    ou vers Internet car il utilise du texte en clair (même pour le login et
-    le mot de passe!). Si vous voulez un accès au shell sur votre firewall
-    depuis Internet, utilisez SSH :</para>
-
-    <table>
-      <title>/etc/shorewall/rules</title>
-
-      <tgroup cols="7">
-        <tbody>
-          <row>
-            <entry><emphasis role="bold">ACTION</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE</emphasis></entry>
-
-            <entry><emphasis role="bold">DESTINATION</emphasis></entry>
-
-            <entry><emphasis role="bold">PROTOCOL</emphasis></entry>
-
-            <entry><emphasis role="bold">PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">SOURCE PORT</emphasis></entry>
-
-            <entry><emphasis role="bold">ORIGINAL DEST</emphasis></entry>
-          </row>
-
-          <row>
-            <entry>ACCEPT</entry>
-
-            <entry>net</entry>
-
-            <entry>fw</entry>
-
-            <entry>tcp</entry>
-
-            <entry>22</entry>
-
-            <entry></entry>
-
-            <entry></entry>
-          </row>
-        </tbody>
-      </tgroup>
-    </table>
-
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> Maintenant éditez
-    votre fichier /etc/shorewall/rules pour ajouter ou supprimer les
-    connexions voulues.</para>
+    <title>Démarrer et Arrêter Votre Firewall</title>
+
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
+
+    <para>La <ulink url="Install.htm">procédure d'installation</ulink>
+    configure votre système pour lancer Shorewall au boot du système, mais au
+    début avec la version 1.3.9 de Shorewall le lancement est désactivé,
+    n'essayer pas de lancer Shorewall avec que la configuration soit finie.
+    Une fois que vous en aurez fini avec la configuration du firewall, vous
+    pouvez permettre le lancement de Shorewall en supprimant le fichier
+    <filename
+    class="directory">/etc/shorewall/</filename><filename>startup_disabled</filename>.
+    <important>
+        <para>Les utilisateurs des paquets .deb doivent éditer <filename
+        class="directory">/etc/default/</filename><filename>shorewall</filename>
+        and set <varname>startup=1</varname>.</para>
+      </important>Le firewall est activé en utilisant la commande
+    <quote><command>shorewall start</command></quote> et arrêté avec
+    <quote><command>shorewall stop</command></quote>. Lorsque le firewall est
+    stoppé, le routage est autorisé sur les hôtes qui possèdent une entrée
+    dans <filename
+    class="directory">/etc/shorewall/</filename><filename><ulink
+    url="Documentation.htm#Routestopped">routestopped</ulink></filename>. Un
+    firewall qui tourne peut être relancé en utilisant la commande
+    <quote><command>shorewall restart</command></quote> command. Si vous
+    voulez enlever toutes traces de Shorewall sur votre configuration de
+    Netfilter, utilisez <quote><command>shorewall
+    clear</command></quote>.</para>
+
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
+
+    <para>Les exemples (two-interface) supposent que vous voulez permettre le
+    routage depuis ou vers <filename class="devicefile">eth1</filename> (le
+    réseau local) lorsque Shorewall est stoppé. Si votre réseau local n' est
+    pas connecté à <filename class="devicefile">eth1</filename> ou si vous
+    voulez permettre l'accès depuis ou vers d'autres hôtes, changez <filename
+    class="directory">/etc/shorewall/</filename><filename><ulink
+    url="Documentation.htm#Routestopped">routestopped</ulink></filename> en
+    conséquence. <warning>
+        <para>Si vous êtes connecté à votre firewall depuis Internet,
+        n'essayez pas une commande <quote><command>shorewall
+        stop</command></quote> tant que vous n'avez pas ajouté une entrée pour
+        votre adresse <acronym>IP</acronym> (celle à partir de laquelle vous
+        êtes connectée) dans <filename
+        class="directory">/etc/shorewall/</filename><filename>routestopped</filename>.
+        De la même manière, je ne vous recommande pas d'utiliser
+        <quote><command>shorewall restart</command></quote>; il est plus
+        intéressant de créer <ulink
+        url="configuration_file_basics.htm#Configs">une configuration
+        alternative</ulink> et de la tester en utilisant la commande
+        <quote><command>shorewall try</command></quote>.</para>
+      </warning></para>
   </section>
 
   <section>
-    <title>Lancer et Arrêter son Firewall</title>
+    <title>Autres Lectures Recommandées</title>
 
-    <para>La <ulink url="Install.htm">procédure d&#39;installation</ulink>
-    configure votre système pour lancer Shorewall au boot du système, mais au
-    début avec la version 1.3.9 de Shorewall le lancement est désactivé,
-    n&#39;essayer pas de lancer Shorewall avec que la configuration soit
-    finie. Une fois que vous en aurez fini avec la configuration du firewall,
-    vous pouvez permettre le lancement de Shorewall en supprimant le fichier
-    /etc/shorewall/startup_disabled.</para>
+    <para>Je vous recommande vivement de lire la <ulink
+    url="configuration_file_basics.htm">page des Fonctionnalités Générales des
+    Fichiers de Configuration</ulink> -- elle contient des trucs sur les
+    possibilités de Shorewall pour rendre aisé l'administration de votre
+    firewall Shorewall.</para>
+  </section>
 
-    <para><emphasis role="bold">IMPORTANT: Les utilisateurs des paquets .deb
-    doivent éditer /etc/default/shorewall et mettre &#39;startup=1&#39;.</emphasis></para>
+  <section>
+    <title>Ajouter un Segment Sans-fil à votre Firewall à deux
+    interfaces</title>
 
-    <para>Le firewall est activé en utilisant la commande &#34;shorewall
-    start&#34; et arrêté avec &#34;shorewall stop&#34;. Lorsque le firewall
-    est stoppé, le routage est autorisé sur les hôtes qui possèdent une entrée
-    dans <ulink url="Documentation.htm#Routestopped">/etc/shorewall/routestopped</ulink>.
-    Un firewall qui tourne peut être relancé en utilisant la commande
-    &#34;shorewall restart&#34;. Si vous voulez enlever toutes traces de
-    Shorewall sur votre configuration de Netfilter, utilisez &#34;shorewall
-    clear&#34;.</para>
+    <para>Maintenant que vous avez une configuration deux interfaces qui
+    marche, l'étape suivante logique est d'ajouter un Réseau Sans-fil. La
+    première étape est d'ajouter une carte à votre firewall, soit une carte
+    Sans-fil ou une carte ethernet relié à un Point d'Accés Sans-fil.<caution>
+        <para>Quant vous ajoutez une carte réseau, il se peut qu'elle ne soit
+        pas détecté comme celle suivant la plus haute interface. Par exemple,
+        si vous avez deux cartes interfaces sur votre système (<filename
+        class="devicefile">eth0</filename> and <filename
+        class="devicefile">eth1</filename>) et que vous ajoutez une troisième
+        qui utilise le même drivers qu'une des deux autres, cette troisième
+        carte ne sera pas obligatoirement détecté en tant que <filename
+        class="devicefile">eth2</filename>; elle peut très bien être détecté
+        en tant que <filename class="devicefile">eth0</filename> ou <filename
+        class="devicefile">eth1</filename>! Vous pouvez faire avec ou
+        intervertir les cartes dans les slots jusqu'à obtenir valeur <filename
+        class="devicefile">eth2</filename>.</para>
+      </caution></para>
 
-    <para><inlinegraphic fileref="images/BD21298_.gif" /> Les exemples
-    (two-interface) supposent que vous voulez permettre le routage depuis ou
-    vers eth1 (le réseau local) lorsque Shorewall est stoppé. Si votre réseau
-    local n&#39; est pas connecté à eth1 ou si vous voulez permettre
-    l&#39;accès depuis ou vers d&#39;autres hôtes, changez
-    /etc/shorewall/routestopped en conséquence.</para>
+    <para>Votre nouveau réseau ressemblera à la figure ci-dessous.<graphic
+    fileref="images/basics2.png" /></para>
 
-    <para><emphasis role="bold">ATTENTION:</emphasis> Si vous êtes connecté à
-    votre firewall depuis Internet, n&#39;essayez pas une commande
-    &#34;shorewall stop&#34; tant que vous n&#39;avez pas ajouté une entrée
-    pour votre adresse IP (celle à partir de laquelle vous êtes connectée)
-    dans<ulink url="Documentation.htm#Routestopped">
-    /etc/shorewall/routestopped</ulink>. De la même manière, je ne vous
-    recommande pas d&#39;utiliser &#34;shorewall restart&#34;; il est plus
-    intéressant de créer <ulink url="configuration_file_basics.htm#Configs">une
-    configuration alternative</ulink> et de la tester en utilisant la commande
-    &#34;<ulink url="starting_and_stopping_shorewall.htm">shorewall try</ulink>&#34;.</para>
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
+
+    <para>La première chose à noter est que les ordinateurs sur votre réseau
+    sans-fil seront sur un sous-réseau différent de celui de votre réseau
+    local LAN. Dans l'exemple précédent, nous avons choisi de lui attribuer le
+    réseau 10.10.11.0/24. Les ordinateurs 3 et 4 seront configurés avec une
+    passerelle par défaut dont l'adresse IP sera 10.10.11.254.</para>
+
+    <para>Ensuite, nous avons choisi d'inclure le réseau sans-fil à la zone
+    local. Depuis que Shorewall autorise du trafic intra-zone par défaut, le
+    trafic pourra circuler librement entre le réseau local et sans-fil.</para>
+
+    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
+
+    <para>Il n'y a que deux changements à effectuer à la configuration de
+    Shorewall:</para>
+
+    <itemizedlist>
+      <listitem>
+        <para>Une entrée doit être ajouté au fichier d'interfaces
+        <filename>/etc/shorewall/interfaces</filename> pour l'interface du
+        réseau sans-fil. Si l'interface du réseau sans-fil est <filename
+        class="devicefile">wlan0</filename>, l'entrée correspondante pourrait
+        être:</para>
+
+        <programlisting>#ZONE     INTERFACE       BROADCAST          OPTIONS
+loc       wlan0           detect             maclist</programlisting>
+
+        <para>Comme montré dans l'entrée ci-dessus, je recommande d'utiliser
+        l'<ulink url="MAC_Validation.html">option maclist</ulink> pour le
+        segment sans-fil. En ajoutant les entrées pour les ordinateurs 3 et 4
+        dans le fichier <filename>/etc/shorewall/maclist</filename>, vous
+        pouvez vous assurer que vos voisins n'utiliseront pas votre connexion
+        internet. Commencez sans cette option; quant tout fonctionnera, alors
+        ajouter l'option et configurez votre fichier
+        <filename>/etc/shorewall/maclist</filename>.</para>
+      </listitem>
+
+      <listitem>
+        <para>Vous avez besoin d'ajouter une entrée au fichier
+        <filename>/etc/shorewall/masq</filename> afin de masquer le trafic de
+        votre réseau sans-fil vers Internet. Si votre interface Internet est
+        <filename class="devicefile">eth0</filename> et votre interface
+        sans-fil est <filename class="devicefile">wlan0</filename>, l'entrée
+        sera:</para>
+
+        <programlisting>#INTERFACE           SUBNET             ADDRESS
+eth0                 wlan0</programlisting>
+      </listitem>
+    </itemizedlist>
+
+    <para>Autre chose. Pour que le réseau <trademark>Microsoft</trademark>
+    fonctionne entre réseau filaire et sans-fil, vous avez besoin soit d'un
+    serveur WINS ou un PDC. J'utilise personnellement Samba configuré en
+    serveur WINS qui tourne sur mon firewall. Utiliser un serveur WINS sur le
+    firewall nécessite de configurer les régles nécessaires listées dans le
+    <ulink url="samba.htm">document Shorewall/Samba</ulink>.</para>
   </section>
 </article>
\ No newline at end of file
diff --git a/Shorewall-docs2/upgrade_issues.xml b/Shorewall-docs2/upgrade_issues.xml
index 470dbbba4..70d93d1d8 100644
--- a/Shorewall-docs2/upgrade_issues.xml
+++ b/Shorewall-docs2/upgrade_issues.xml
@@ -30,7 +30,8 @@
       1.2 or any later version published by the Free Software Foundation; with
       no Invariant Sections, with no Front-Cover, and with no Back-Cover
       Texts. A copy of the license is included in the section entitled
-      <quote><ulink type="" url="copyright.htm">GNU Free Documentation License</ulink></quote>.</para>
+      <quote><ulink type="" url="copyright.htm">GNU Free Documentation
+      License</ulink></quote>.</para>
     </legalnotice>
   </articleinfo>
 
@@ -41,10 +42,10 @@
     the version number mentioned in the section title is later than what you
     are currently running.</para>
 
-    <para>In the descriptions that follows, the term <emphasis>group</emphasis>
-    refers to a particular network or subnetwork (which may be
-    <literal>0.0.0.0/0</literal> or it may be a host address) accessed through
-    a particular interface.</para>
+    <para>In the descriptions that follows, the term
+    <emphasis>group</emphasis> refers to a particular network or subnetwork
+    (which may be <literal>0.0.0.0/0</literal> or it may be a host address)
+    accessed through a particular interface.</para>
 
     <para>Examples:</para>
 
@@ -61,38 +62,95 @@
   </section>
 
   <section>
-    <title>Version &#62;= 2.0.1</title>
+    <title>Version &gt;= 2.0.2 Beta 1</title>
 
     <itemizedlist>
       <listitem>
-        <para>The function of &#39;norfc1918&#39; is now split between that
-        option and a new &#39;nobogons&#39; option. The rfc1918 file released
-        with Shorewall now contains entries for only those three address
-        ranges reserved by RFC 1918. A &#39;nobogons&#39; interface option has
-        been added which handles bogon source addresses (those which are
-        reserved by the IANA, those reserved for DHCP auto-configuration and
-        the class C test-net reserved for testing and documentation examples).
-        This will allow users to perform RFC 1918 filtering without having to
-        deal with out of date data from IANA. Those who are willing to update
-        their <filename>/usr/share/shorewall/bogons</filename> file regularly
-        can specify the &#39;nobogons&#39; option in addition to
-        &#39;norfc1918&#39;. The level at which bogon packets are logged is
-        specified in the new BOGON_LOG_LEVEL variable in shorewall.conf. If
-        that option is not specified or is specified as empty (e.g,
-        BOGON_LOG_LEVEL=&#34;&#34;) then bogon packets whose TARGET is
-        &#39;logdrop&#39; in <filename>/usr/share/shorewall/bogons</filename>
-        are logged at the &#39;info&#39; level.</para>
+        <para>Extension Scripts - In order for extension scripts to work
+        properly with the new iptables-save/restore integration introduced in
+        Shorewall 2.0.2 Beta 1, some change may be required to your extension
+        scripts.</para>
+
+        <para>If your extension scripts are executing commands other than
+        iptables then those commands must also be written to the restore file
+        (a temporary file in <filename
+        class="directory">/var/lib/shorewall</filename> that is renamed
+        <filename>/var/lib/shorewall/restore-base</filename> at the
+        completeion of the <filename>/sbin/shorewall</filename> command). The
+        following functions should be of help:</para>
+
+        <orderedlist>
+          <listitem>
+            <para>save_command() -- saves the passed command to the restore
+            file.</para>
+
+            <para>Example: <programlisting>save_command echo Operation Complete</programlisting></para>
+
+            <para>That command would simply write "echo Operation Complete" to
+            the restore file.</para>
+          </listitem>
+
+          <listitem>
+            <para> run_and_save_command() -- saves the passed command to the
+            restore file then executes it. The return value is the exit status
+            of the command. Example: <programlisting>run_and_save_command "echo 1 &gt; /proc/sys/net/ipv4/icmp_echo_ignore_all"</programlisting></para>
+
+            <para>Note that as in this example, when the command involves file
+            redirection then the entire command must be enclosed in quotes.
+            This applies to all of the functions described here.</para>
+          </listitem>
+
+          <listitem>
+            <para>ensure_and_save_command() -- runs the passed command. If the
+            command fails, the firewall is restored to it's prior saved state
+            and the operation is terminated. If the command succeeds, the
+            command is written to the restore file</para>
+          </listitem>
+        </orderedlist>
+      </listitem>
+
+      <listitem>
+        <para>Dynamic Zone support. - If you don't need to use the
+        <command>shorewall add</command> and <command>shorewall
+        delete</command> commands, you should set DYNAMIC_ZONES=No in
+        <filename>/etc/shorewall/shorewall.conf</filename>.</para>
       </listitem>
     </itemizedlist>
   </section>
 
   <section>
-    <title>VERSION &#62;= 2.0.0-Beta1</title>
+    <title>Version &gt;= 2.0.1</title>
 
     <itemizedlist>
       <listitem>
-        <para>The &#39;dropunclean&#39; and &#39;logunclean&#39; interface
-        options are no longer supported. If either option is specified in
+        <para>The function of 'norfc1918' is now split between that option and
+        a new 'nobogons' option. The rfc1918 file released with Shorewall now
+        contains entries for only those three address ranges reserved by RFC
+        1918. A 'nobogons' interface option has been added which handles bogon
+        source addresses (those which are reserved by the IANA, those reserved
+        for DHCP auto-configuration and the class C test-net reserved for
+        testing and documentation examples). This will allow users to perform
+        RFC 1918 filtering without having to deal with out of date data from
+        IANA. Those who are willing to update their
+        <filename>/usr/share/shorewall/bogons</filename> file regularly can
+        specify the 'nobogons' option in addition to 'norfc1918'. The level at
+        which bogon packets are logged is specified in the new BOGON_LOG_LEVEL
+        variable in shorewall.conf. If that option is not specified or is
+        specified as empty (e.g, BOGON_LOG_LEVEL="") then bogon packets whose
+        TARGET is 'logdrop' in
+        <filename>/usr/share/shorewall/bogons</filename> are logged at the
+        'info' level.</para>
+      </listitem>
+    </itemizedlist>
+  </section>
+
+  <section>
+    <title>VERSION &gt;= 2.0.0-Beta1</title>
+
+    <itemizedlist>
+      <listitem>
+        <para>The 'dropunclean' and 'logunclean' interface options are no
+        longer supported. If either option is specified in
         <filename>/etc/shorewall/interfaces</filename>, a threatening message
         will be generated.</para>
       </listitem>
@@ -101,18 +159,19 @@
         <para>The NAT_BEFORE_RULES option has been removed from
         <filename>shorewall.conf</filename>. The behavior of Shorewall 2.0 is
         as if NAT_BEFORE_RULES=No had been specified. In other words, DNAT
-        rules now always take precidence over one-to-one NAT specifications.</para>
+        rules now always take precidence over one-to-one NAT
+        specifications.</para>
       </listitem>
 
       <listitem>
         <para>The default value for the ALL INTERFACES column in
         <filename>/etc/shorewall/nat</filename> has changed. In Shorewall 1.*,
-        if the column was left empty, a value of &#34;Yes&#34; was assumed.
-        This has been changed so that a value of &#34;No&#34; is now assumed.</para>
+        if the column was left empty, a value of "Yes" was assumed. This has
+        been changed so that a value of "No" is now assumed.</para>
       </listitem>
 
       <listitem>
-        <para>The following files don&#39;t exist in Shorewall 2.0:</para>
+        <para>The following files don't exist in Shorewall 2.0:</para>
 
         <simplelist>
           <member><filename>/etc/shorewall/common.def</filename></member>
@@ -122,13 +181,14 @@
           <member><filename>/etc/shorewall/icmpdef</filename></member>
 
           <member><filename>/etc/shorewall/action.template</filename> (moved
-          to <filename>/usr/share/shorewall/action.template</filename>)</member>
+          to
+          <filename>/usr/share/shorewall/action.template</filename>)</member>
         </simplelist>
 
         <para>The <filename>/etc/shorewall/action</filename> file now allows
-        an action to be designated as the &#34;common&#34; action for a
-        particular policy type by following the action name with &#34;:&#34;
-        and the policy (DROP, REJECT or ACCEPT).</para>
+        an action to be designated as the "common" action for a particular
+        policy type by following the action name with ":" and the policy
+        (DROP, REJECT or ACCEPT).</para>
 
         <para>The file /usr/share/shorewall/actions.std has been added to
         define those actions that are released as part of Shorewall 2.0 In
@@ -144,28 +204,29 @@
         policies while the <quote>Reject</quote> action is the default action
         for REJECT policies. These actions will be performed on packets prior
         to applying the DROP or REJECT policy respectively. In the first
-        release, the difference between &#34;Reject&#34; and &#34;Drop&#34; is
-        that &#34;Reject&#34; REJECTs SMB traffic while &#34;Drop&#34;
-        silently drops such traffic.</para>
+        release, the difference between "Reject" and "Drop" is that "Reject"
+        REJECTs SMB traffic while "Drop" silently drops such traffic.</para>
 
         <para>As described above, Shorewall allows a common action for ACCEPT
         policies but does not specify such an action in the default
         configuration.</para>
 
         <para>For more information see the <ulink
-        url="User_defined_Actions.html">User-defined Action Page</ulink>.</para>
+        url="User_defined_Actions.html">User-defined Action
+        Page</ulink>.</para>
       </listitem>
 
       <listitem>
         <para>The <filename>/etc/shorewall</filename> directory no longer
-        contains <filename>users</filename> file or a <filename>usersets</filename>
-        file. Similar functionality is now available using user-defined
-        actions.</para>
+        contains <filename>users</filename> file or a
+        <filename>usersets</filename> file. Similar functionality is now
+        available using user-defined actions.</para>
 
-        <para>Now, action files created by copying <filename>/usr/share/shorewall/action.template</filename>
-        may now specify a USER and or GROUP name/id in the final column just
-        like in the rules file (see below). It is thus possible to create
-        actions that control traffic from a list of users and/or groups.</para>
+        <para>Now, action files created by copying
+        <filename>/usr/share/shorewall/action.template</filename> may now
+        specify a USER and or GROUP name/id in the final column just like in
+        the rules file (see below). It is thus possible to create actions that
+        control traffic from a list of users and/or groups.</para>
       </listitem>
 
       <listitem>
@@ -173,57 +234,69 @@
         now labeled USER/GROUP and may contain:</para>
 
         <simplelist>
-          <member>[!]&#60;<emphasis>user number</emphasis>&#62;[:]</member>
+          <member>[!]&lt;<emphasis>user number</emphasis>&gt;[:]</member>
 
-          <member>[!]&#60;<emphasis>user name</emphasis>&#62;[:]</member>
+          <member>[!]&lt;<emphasis>user name</emphasis>&gt;[:]</member>
 
-          <member>[!]:&#60;<emphasis>group number</emphasis>&#62;</member>
+          <member>[!]:&lt;<emphasis>group number</emphasis>&gt;</member>
 
-          <member>[!]:&#60;<emphasis>group name</emphasis>&#62;</member>
+          <member>[!]:&lt;<emphasis>group name</emphasis>&gt;</member>
 
-          <member>[!]&#60;<emphasis>user number</emphasis>&#62;:&#60;<emphasis>group
-          number</emphasis>&#62;</member>
+          <member>[!]&lt;<emphasis>user
+          number</emphasis>&gt;:&lt;<emphasis>group
+          number</emphasis>&gt;</member>
 
-          <member>[!]&#60;<emphasis>user name</emphasis>&#62;:&#60;<emphasis>group
-          number</emphasis>&#62;</member>
+          <member>[!]&lt;<emphasis>user
+          name</emphasis>&gt;:&lt;<emphasis>group
+          number</emphasis>&gt;</member>
 
-          <member>[!]&#60;<emphasis>user inumber</emphasis>&#62;:&#60;<emphasis>group
-          name</emphasis>&#62;</member>
+          <member>[!]&lt;<emphasis>user
+          inumber</emphasis>&gt;:&lt;<emphasis>group
+          name</emphasis>&gt;</member>
 
-          <member>[!]&#60;<emphasis>user name</emphasis>&#62;:&#60;<emphasis>group
-          name</emphasis>&#62;</member>
+          <member>[!]&lt;<emphasis>user
+          name</emphasis>&gt;:&lt;<emphasis>group name</emphasis>&gt;</member>
         </simplelist>
       </listitem>
+
+      <listitem>
+        <para>If your kernel has IPV6 support (recent
+        <trademark>SuSe</trademark> for example), and you don't use IPV6 then
+        you will probably want to set DISABLE_IPV6=Yes in <ulink
+        url="Documentation.htm#Conf">/etc/shorewall/shorewall.conf</ulink>.
+        You must have ipv6tables installed.</para>
+      </listitem>
     </itemizedlist>
   </section>
 
   <section>
-    <title>Version &#62;= 1.4.8</title>
+    <title>Version &gt;= 1.4.8</title>
 
     <itemizedlist mark="bullet">
       <listitem>
         <para>The meaning of <varname>ROUTE_FILTER=Yes</varname> has changed.
         Previously this setting was documented as causing route filtering to
-        occur on all network interfaces; this didn&#39;t work. Beginning with
-        this release, <varname>ROUTE_FILTER=Yes</varname> causes route
-        filtering to occur on all interfaces brought up while Shorewall is
-        running. This means that it may be appropriate to set
+        occur on all network interfaces; this didn't work. Beginning with this
+        release, <varname>ROUTE_FILTER=Yes</varname> causes route filtering to
+        occur on all interfaces brought up while Shorewall is running. This
+        means that it may be appropriate to set
         <varname>ROUTE_FILTER=Yes</varname> and use the routefilter option in
-        <filename class="directory">/etc/shorewall/</filename><filename>interfaces</filename>
+        <filename
+        class="directory">/etc/shorewall/</filename><filename>interfaces</filename>
         entries.</para>
       </listitem>
     </itemizedlist>
   </section>
 
   <section>
-    <title>Version &#62;= 1.4.6</title>
+    <title>Version &gt;= 1.4.6</title>
 
     <itemizedlist mark="bullet">
       <listitem>
-        <para>The <varname>NAT_ENABLED</varname>, <varname>MANGLE_ENABLED</varname>
-        and <varname>MULTIPORT</varname> options have been removed from
-        <filename>shorewall.conf</filename>. These capabilities are now
-        automatically detected by Shorewall.</para>
+        <para>The <varname>NAT_ENABLED</varname>,
+        <varname>MANGLE_ENABLED</varname> and <varname>MULTIPORT</varname>
+        options have been removed from <filename>shorewall.conf</filename>.
+        These capabilities are now automatically detected by Shorewall.</para>
       </listitem>
 
       <listitem>
@@ -239,39 +312,48 @@ zone	eth1:192.168.1.0/24,192.168.2.0/24
   </section>
 
   <section>
-    <title>Version &#62;= 1.4.4</title>
+    <title>Version &gt;= 1.4.4</title>
 
-    <para>If you are upgrading from 1.4.3 and have set the <varname>LOGMARKER</varname>
-    variable in <filename class="directory">/etc/shorewall/</filename><filename>shorewall.conf</filename>,
+    <para>If you are upgrading from 1.4.3 and have set the
+    <varname>LOGMARKER</varname> variable in <filename
+    class="directory">/etc/shorewall/</filename><filename>shorewall.conf</filename>,
     then you must set the new <varname>LOGFORMAT</varname> variable
-    appropriately and remove your setting of <varname>LOGMARKER</varname>.</para>
+    appropriately and remove your setting of
+    <varname>LOGMARKER</varname>.</para>
   </section>
 
   <section>
     <title>Version 1.4.4</title>
 
     <para>If you have zone names that are 5 characters long, you may
-    experience problems starting Shorewall because the <option>--log-prefix</option>
-    in a logging rule is too long. Upgrade to Version 1.4.4a to fix this
-    problem.</para>
+    experience problems starting Shorewall because the
+    <option>--log-prefix</option> in a logging rule is too long. Upgrade to
+    Version 1.4.4a to fix this problem.</para>
   </section>
 
   <section>
-    <title>Version &#62;= 1.4.2</title>
+    <title>Version &gt;= 1.4.2</title>
 
     <para>There are some cases where you may want to handle traffic from a
     particular group to itself. While I personally think that such a setups
     are ridiculous, there are two cases covered in this documentation where it
-    can occur: <itemizedlist><listitem><para><ulink url="FAQ.htm#faq2">In FAQ
-    #2</ulink></para></listitem><listitem><para><ulink
-    url="Shorewall_Squid_Usage.html">When running <application>Squid</application>
-    as a transparent proxy in your local zone.</ulink></para></listitem></itemizedlist>
-    If you have either of these cases, you will want to review the current
-    documentation and change your configuration accordingly.</para>
+    can occur: <itemizedlist>
+        <listitem>
+          <para><ulink url="FAQ.htm#faq2">In FAQ #2</ulink></para>
+        </listitem>
+
+        <listitem>
+          <para><ulink url="Shorewall_Squid_Usage.html">When running
+          <application>Squid</application> as a transparent proxy in your
+          local zone.</ulink></para>
+        </listitem>
+      </itemizedlist> If you have either of these cases, you will want to
+    review the current documentation and change your configuration
+    accordingly.</para>
   </section>
 
   <section>
-    <title>Version &#62;= 1.4.1</title>
+    <title>Version &gt;= 1.4.1</title>
 
     <itemizedlist mark="bullet">
       <listitem>
@@ -280,11 +362,10 @@ zone	eth1:192.168.1.0/24,192.168.2.0/24
         was treated just like any other traffic; any matching rules were
         applied followed by enforcement of the appropriate policy. With 1.4.1
         and later versions, unless you have explicit rules for traffic from Z
-        to Z or you have an explicit Z to Z policy (where &#34;Z&#34; is some
-        zone) then traffic between the groups in zone Z will be accepted. If
-        you do have one or more explicit rules for Z to Z or if you have an
-        explicit Z to Z policy then the behavior is as it was in prior
-        versions.</para>
+        to Z or you have an explicit Z to Z policy (where "Z" is some zone)
+        then traffic between the groups in zone Z will be accepted. If you do
+        have one or more explicit rules for Z to Z or if you have an explicit
+        Z to Z policy then the behavior is as it was in prior versions.</para>
 
         <orderedlist numeration="arabic">
           <listitem>
@@ -296,26 +377,29 @@ zone	eth1:192.168.1.0/24,192.168.2.0/24
 
           <listitem>
             <para>If you have a Z Z DROP or Z Z REJECT policy or you have
-            Z-&#62;Z rules then your configuration should not require any
+            Z-&gt;Z rules then your configuration should not require any
             change.</para>
           </listitem>
 
           <listitem>
             <para>If you are currently relying on a implicit policy (one that
-            has &#34;all&#34; in either the SOURCE or DESTINATION column) to
-            prevent traffic between two interfaces to a zone Z and you have no
-            rules for Z-&#62;Z then you should add an explicit DROP or REJECT
-            policy for Z to Z.</para>
+            has "all" in either the SOURCE or DESTINATION column) to prevent
+            traffic between two interfaces to a zone Z and you have no rules
+            for Z-&gt;Z then you should add an explicit DROP or REJECT policy
+            for Z to Z.</para>
           </listitem>
         </orderedlist>
       </listitem>
 
       <listitem>
         <para>Sometimes, you want two separate zones on one interface but you
-        don&#39;t want Shorewall to set up any infrastructure to handle
-        traffic between them. <example><title>The <filename>zones</filename>,
-        <filename>interfaces</filename> and, <filename>hosts</filename> file
-        contents</title><programlisting>
+        don't want Shorewall to set up any infrastructure to handle traffic
+        between them. <example>
+            <title>The <filename>zones</filename>,
+            <filename>interfaces</filename> and, <filename>hosts</filename>
+            file contents</title>
+
+            <programlisting>
 <filename class="directory">/etc/shorewall/</filename><filename>zones</filename>
 z1	Zone1	The first Zone
 z2	Zone2	The second Zone
@@ -325,17 +409,21 @@ z2	eth1	192.168.1.255
 
 <filename class="directory">/etc/shorewall/</filename><filename>hosts</filename>
 z1	eth1:192.168.1.3
-					</programlisting></example> Here, zone z1 is nested in zone z2 and the
-        firewall is not going to be involved in any traffic between these two
-        zones. Beginning with Shorewall 1.4.1, you can prevent Shorewall from
-        setting up any infrastructure to handle traffic between z1 and z2 by
-        using the new NONE policy: <example><title>The contents of
-        <filename>policy</filename></title><programlisting>
+					</programlisting>
+          </example> Here, zone z1 is nested in zone z2 and the firewall is
+        not going to be involved in any traffic between these two zones.
+        Beginning with Shorewall 1.4.1, you can prevent Shorewall from setting
+        up any infrastructure to handle traffic between z1 and z2 by using the
+        new NONE policy: <example>
+            <title>The contents of <filename>policy</filename></title>
+
+            <programlisting>
 <filename class="directory">/etc/shorewall/</filename><filename>policy</filename>
 z1	z2	NONE
 z2	z1	NONE
-					</programlisting></example> Note that NONE policies are generally used in
-        pairs unless there is asymetric routing where only the traffic on one
+					</programlisting>
+          </example> Note that NONE policies are generally used in pairs
+        unless there is asymetric routing where only the traffic on one
         direction flows through the firewall and you are using a NONE polciy
         in the other direction.</para>
       </listitem>
@@ -348,21 +436,21 @@ z2	z1	NONE
     <itemizedlist mark="bullet">
       <listitem>
         <para>In Version 1.4.1, Shorewall will never create rules to deal with
-        traffic from a given group back to itself. The <varname>multi</varname>
-        interface option is no longer available so if you want to route
-        traffic between two subnetworks on the same interface then I recommend
-        that you upgrade to Version 1.4.2 and use the <varname>routeback</varname>
-        interface or host option.</para>
+        traffic from a given group back to itself. The
+        <varname>multi</varname> interface option is no longer available so if
+        you want to route traffic between two subnetworks on the same
+        interface then I recommend that you upgrade to Version 1.4.2 and use
+        the <varname>routeback</varname> interface or host option.</para>
       </listitem>
     </itemizedlist>
   </section>
 
   <section>
-    <title>Version &#62;= 1.4.0</title>
+    <title>Version &gt;= 1.4.0</title>
 
     <important>
-      <para>Shorewall &#62;=1.4.0 requires the <command>iproute</command>
-      package (&#39;<literal>ip</literal>&#39; utility).</para>
+      <para>Shorewall &gt;=1.4.0 requires the <command>iproute</command>
+      package ('<literal>ip</literal>' utility).</para>
     </important>
 
     <note>
@@ -370,46 +458,89 @@ z2	z1	NONE
       <command>iproute2</command> which will cause the upgrade of Shorewall to
       fail with the diagnostic: <synopsis>
 error: failed dependencies:iproute is needed by shorewall-1.4.0-1
-				</synopsis> This may be worked around by using the <option>--nodeps</option>
-      option of <command>rpm</command> (<command>rpm -Uvh --nodeps
+				</synopsis> This may be worked around by using the
+      <option>--nodeps</option> option of <command>rpm</command> (<command>rpm
+      -Uvh --nodeps
       <filename>your_shorewall_rpm.rpm</filename></command>).</para>
     </note>
 
-    <para>If you are upgrading from a version &#60; 1.4.0, then: <itemizedlist
-    mark="bullet"><listitem><para>The <varname>noping</varname> and
-    <varname>forwardping</varname> interface options are no longer supported
-    nor is the <varname>FORWARDPING</varname> option in <filename>shorewall.conf</filename>.
-    ICMP echo-request (ping) packets are treated just like any other
-    connection request and are subject to rules and policies.</para></listitem><listitem><para>Interface
-    names of the form <varname>&#60;device&#62;:&#60;integer&#62;</varname> in
-    <filename class="directory">/etc/shorewall/</filename><filename>interfaces</filename>
-    now generate a Shorewall error at startup (they always have produced
-    warnings in <application class="software">iptables</application>).</para></listitem><listitem><para>The
-    <varname>MERGE_HOSTS</varname> variable has been removed from
-    <filename>shorewall.conf</filename>. Shorewall 1.4 behaves like 1.3 did
-    when <varname>MERGE_HOSTS=Yes</varname>; that is zone contents are
-    determined by <emphasis>BOTH</emphasis> the interfaces and hosts files
-    when there are entries for the zone in both files.</para></listitem><listitem><para>The
-    <varname>routestopped</varname> option in the interfaces and hosts file
-    has been eliminated; use entries in the <filename>routestopped</filename>
-    file instead.</para></listitem><listitem><para>The Shorewall 1.2 syntax
-    for <varname>DNAT</varname> and <varname>REDIRECT</varname> rules is no
-    longer accepted; you must convert to using the new syntax.</para></listitem><listitem><para>The
-    <varname>ALLOWRELATED</varname> variable in <filename>shorewall.conf</filename>
-    is no longer supported. Shorewall 1.4 behavior is the same as 1.3 with
-    <varname>ALLOWRELATED=Yes</varname>.</para></listitem><listitem><para>Late-arriving
-    DNS replies are now dropped by default; there is no need for your own
-    <filename class="directory">/etc/shorewall/</filename><filename>common</filename>
-    file simply to avoid logging these packets.</para></listitem><listitem><para>The
-    <filename>firewall</filename>, <filename>functions</filename> and
-    <filename>version</filename> files have been moved to <filename
-    class="directory">/usr/share/shorewall</filename>.</para></listitem><listitem><para>The
-    <filename>icmp.def</filename> file has been removed. If you include it
-    from <filename class="directory">/etc/shorewall/</filename><filename>icmpdef</filename>,
-    you will need to modify that file.</para></listitem><listitem><para>If you
-    followed the advice in FAQ #2 and call <varname>find_interface_address</varname>
-    in <filename class="directory">/etc/shorewall/</filename><filename>params</filename>,
-    that code should be moved to <filename class="directory">/etc/shorewall/</filename><filename>init</filename>.</para></listitem></itemizedlist></para>
+    <para>If you are upgrading from a version &lt; 1.4.0, then: <itemizedlist
+        mark="bullet">
+        <listitem>
+          <para>The <varname>noping</varname> and
+          <varname>forwardping</varname> interface options are no longer
+          supported nor is the <varname>FORWARDPING</varname> option in
+          <filename>shorewall.conf</filename>. ICMP echo-request (ping)
+          packets are treated just like any other connection request and are
+          subject to rules and policies.</para>
+        </listitem>
+
+        <listitem>
+          <para>Interface names of the form
+          <varname>&lt;device&gt;:&lt;integer&gt;</varname> in <filename
+          class="directory">/etc/shorewall/</filename><filename>interfaces</filename>
+          now generate a Shorewall error at startup (they always have produced
+          warnings in <application
+          class="software">iptables</application>).</para>
+        </listitem>
+
+        <listitem>
+          <para>The <varname>MERGE_HOSTS</varname> variable has been removed
+          from <filename>shorewall.conf</filename>. Shorewall 1.4 behaves like
+          1.3 did when <varname>MERGE_HOSTS=Yes</varname>; that is zone
+          contents are determined by <emphasis>BOTH</emphasis> the interfaces
+          and hosts files when there are entries for the zone in both
+          files.</para>
+        </listitem>
+
+        <listitem>
+          <para>The <varname>routestopped</varname> option in the interfaces
+          and hosts file has been eliminated; use entries in the
+          <filename>routestopped</filename> file instead.</para>
+        </listitem>
+
+        <listitem>
+          <para>The Shorewall 1.2 syntax for <varname>DNAT</varname> and
+          <varname>REDIRECT</varname> rules is no longer accepted; you must
+          convert to using the new syntax.</para>
+        </listitem>
+
+        <listitem>
+          <para>The <varname>ALLOWRELATED</varname> variable in
+          <filename>shorewall.conf</filename> is no longer supported.
+          Shorewall 1.4 behavior is the same as 1.3 with
+          <varname>ALLOWRELATED=Yes</varname>.</para>
+        </listitem>
+
+        <listitem>
+          <para>Late-arriving DNS replies are now dropped by default; there is
+          no need for your own <filename
+          class="directory">/etc/shorewall/</filename><filename>common</filename>
+          file simply to avoid logging these packets.</para>
+        </listitem>
+
+        <listitem>
+          <para>The <filename>firewall</filename>,
+          <filename>functions</filename> and <filename>version</filename>
+          files have been moved to <filename
+          class="directory">/usr/share/shorewall</filename>.</para>
+        </listitem>
+
+        <listitem>
+          <para>The <filename>icmp.def</filename> file has been removed. If
+          you include it from <filename
+          class="directory">/etc/shorewall/</filename><filename>icmpdef</filename>,
+          you will need to modify that file.</para>
+        </listitem>
+
+        <listitem>
+          <para>If you followed the advice in FAQ #2 and call
+          <varname>find_interface_address</varname> in <filename
+          class="directory">/etc/shorewall/</filename><filename>params</filename>,
+          that code should be moved to <filename
+          class="directory">/etc/shorewall/</filename><filename>init</filename>.</para>
+        </listitem>
+      </itemizedlist></para>
   </section>
 
   <section>
@@ -420,44 +551,69 @@ error: failed dependencies:iproute is needed by shorewall-1.4.0-1
         <para>The <varname>multi</varname> interface option is no longer
         supported. Shorewall will generate rules for sending packets back out
         the same interface that they arrived on in two cases: <itemizedlist
-        mark="hollow"><listitem><para>There is an <emphasis>explicit</emphasis>
-        policy for the source zone to or from the destination zone. An
-        explicit policy names both zones and does not use the
-        <varname>all</varname> reserved word.</para></listitem><listitem><para>There
-        are one or more rules for traffic for the source zone to or from the
-        destination zone including rules that use the <varname>all</varname>
-        reserved word. Exception: if the source zone and destination zone are
-        the same then the rule must be explicit - it must name the zone in
-        both the <varname>SOURCE</varname> and <varname>DESTINATION</varname>
-        columns.</para></listitem></itemizedlist></para>
+            mark="hollow">
+            <listitem>
+              <para>There is an <emphasis>explicit</emphasis> policy for the
+              source zone to or from the destination zone. An explicit policy
+              names both zones and does not use the <varname>all</varname>
+              reserved word.</para>
+            </listitem>
+
+            <listitem>
+              <para>There are one or more rules for traffic for the source
+              zone to or from the destination zone including rules that use
+              the <varname>all</varname> reserved word. Exception: if the
+              source zone and destination zone are the same then the rule must
+              be explicit - it must name the zone in both the
+              <varname>SOURCE</varname> and <varname>DESTINATION</varname>
+              columns.</para>
+            </listitem>
+          </itemizedlist></para>
       </listitem>
     </itemizedlist>
   </section>
 
   <section>
-    <title>Version &#62;= 1.3.14</title>
+    <title>Version &gt;= 1.3.14</title>
 
     <para>Beginning in version 1.3.14, Shorewall treats entries in <filename
     class="directory">/etc/shorewall/</filename><filename>masq</filename>
-    differently. The change involves entries with an <emphasis role="bold">interface
-    name</emphasis> in the <varname>SUBNET</varname> (second) <emphasis
-    role="bold">column</emphasis>: <itemizedlist mark="bullet"><listitem><para>Prior
-    to 1.3.14, Shorewall would detect the FIRST subnet on the interface (as
-    shown by <quote>ip addr show interface</quote>) and would masquerade
-    traffic from that subnet. Any other subnets that routed through
-    <literal>eth1</literal> needed their own entry in <filename
-    class="directory">/etc/shorewall/</filename><filename>masq</filename> to
-    be masqueraded or to have <acronym>SNAT</acronym> applied.</para></listitem><listitem><para>Beginning
-    with Shorewall 1.3.14, Shorewall uses the firewall&#39;s routing table to
-    determine ALL subnets routed through the named interface. Traffic
-    originating in ANY of those subnets is masqueraded or has SNAT applied.</para></listitem></itemizedlist>
-    You will need to make a change to your configuration if: <orderedlist
-    numeration="arabic"><listitem><para>You have one or more entries in
-    <filename class="directory">/etc/shorewall/</filename><filename>masq</filename>
-    with an interface name in the <varname>SUBNET</varname> (second) column;
-    and</para></listitem><listitem><para>That interface connects to more than
-    one subnetwork.</para></listitem></orderedlist> Two examples: <example
-    label="1"><title>Suppose that your current config is as follows:</title><programlisting>
+    differently. The change involves entries with an <emphasis
+    role="bold">interface name</emphasis> in the <varname>SUBNET</varname>
+    (second) <emphasis role="bold">column</emphasis>: <itemizedlist
+        mark="bullet">
+        <listitem>
+          <para>Prior to 1.3.14, Shorewall would detect the FIRST subnet on
+          the interface (as shown by <quote>ip addr show interface</quote>)
+          and would masquerade traffic from that subnet. Any other subnets
+          that routed through <literal>eth1</literal> needed their own entry
+          in <filename
+          class="directory">/etc/shorewall/</filename><filename>masq</filename>
+          to be masqueraded or to have <acronym>SNAT</acronym> applied.</para>
+        </listitem>
+
+        <listitem>
+          <para>Beginning with Shorewall 1.3.14, Shorewall uses the firewall's
+          routing table to determine ALL subnets routed through the named
+          interface. Traffic originating in ANY of those subnets is
+          masqueraded or has SNAT applied.</para>
+        </listitem>
+      </itemizedlist> You will need to make a change to your configuration if:
+    <orderedlist numeration="arabic">
+        <listitem>
+          <para>You have one or more entries in <filename
+          class="directory">/etc/shorewall/</filename><filename>masq</filename>
+          with an interface name in the <varname>SUBNET</varname> (second)
+          column; and</para>
+        </listitem>
+
+        <listitem>
+          <para>That interface connects to more than one subnetwork.</para>
+        </listitem>
+      </orderedlist> Two examples: <example label="1">
+        <title>Suppose that your current config is as follows:</title>
+
+        <programlisting>
 				<!-- I added a space below the end of the config file for clarity -->
 [root@gateway test]# cat /etc/shorewall/masq
 #INTERFACE              SUBNET                  ADDRESS
@@ -469,10 +625,13 @@ eth0                    192.168.10.0/24         206.124.146.176
 192.168.1.0/24  scope link
 192.168.10.0/24  proto kernel  scope link  src 192.168.10.254
 [root@gateway test]#
-				</programlisting></example> In this case, the second entry in <filename
+				</programlisting>
+      </example> In this case, the second entry in <filename
     class="directory">/etc/shorewall/</filename><filename>masq</filename> is
-    no longer required. <example label="2"><title>What if your current
-    configuration is like this?</title><programlisting>
+    no longer required. <example label="2">
+        <title>What if your current configuration is like this?</title>
+
+        <programlisting>
 [root@gateway test]# cat /etc/shorewall/masq
 #INTERFACE              SUBNET                  ADDRESS
 eth0                    eth2                    206.124.146.176
@@ -482,20 +641,23 @@ eth0                    eth2                    206.124.146.176
 192.168.1.0/24  scope link
 192.168.10.0/24  proto kernel  scope link  src 192.168.10.254
 [root@gateway test]#
-				</programlisting></example> In this case, you would want to change the
-    entry in /etc/shorewall/masq to: <programlisting>
+				</programlisting>
+      </example> In this case, you would want to change the entry in
+    /etc/shorewall/masq to: <programlisting>
 #INTERFACE              SUBNET                  ADDRESS
 eth0                    192.168.1.0/24          206.124.146.176
 #LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
 			</programlisting> Version 1.3.14 also introduced simplified ICMP
-    echo-request (ping) handling. The option <varname>OLD_PING_HANDLING=Yes</varname>
-    in <filename class="directory">/etc/shorewall/</filename><filename>shorewall.conf</filename>
+    echo-request (ping) handling. The option
+    <varname>OLD_PING_HANDLING=Yes</varname> in <filename
+    class="directory">/etc/shorewall/</filename><filename>shorewall.conf</filename>
     is used to specify that the old (pre-1.3.14) ping handling is to be used
-    (If the option is not set in your <filename class="directory">/etc/shorewall/</filename>shorewall.conf
-    then <varname>OLD_PING_HANDLING=Yes</varname> is assumed). I don&#39;t
-    plan on supporting the old handling indefinitely so I urge current users
-    to migrate to using the new handling as soon as possible. See the
-    &#39;Ping&#39; handling documentation for details.</para>
+    (If the option is not set in your <filename
+    class="directory">/etc/shorewall/</filename>shorewall.conf then
+    <varname>OLD_PING_HANDLING=Yes</varname> is assumed). I don't plan on
+    supporting the old handling indefinitely so I urge current users to
+    migrate to using the new handling as soon as possible. See the 'Ping'
+    handling documentation for details.</para>
   </section>
 
   <section>
@@ -513,7 +675,7 @@ rpm -Uvh --force shorewall-1.3.10-1.noarch.rpm
   </section>
 
   <section>
-    <title>Version &#62;= 1.3.9</title>
+    <title>Version &gt;= 1.3.9</title>
 
     <itemizedlist>
       <listitem>
@@ -527,22 +689,23 @@ rpm -Uvh --force shorewall-1.3.10-1.noarch.rpm
   </section>
 
   <section>
-    <title>Version &#62;= 1.3.8</title>
+    <title>Version &gt;= 1.3.8</title>
 
     <itemizedlist>
       <listitem>
         <para>If you have a pair of firewall systems configured for failover
         or if you have asymmetric routing, you will need to modify your
-        firewall setup slightly under Shorewall versions &#62;= 1.3.8.
-        Beginning with version 1.3.8, you must set <varname>NEWNOTSYN=Yes</varname>
-        in your <filename class="directory">/etc/shorewall/</filename><filename>shorewall.conf</filename>
+        firewall setup slightly under Shorewall versions &gt;= 1.3.8.
+        Beginning with version 1.3.8, you must set
+        <varname>NEWNOTSYN=Yes</varname> in your <filename
+        class="directory">/etc/shorewall/</filename><filename>shorewall.conf</filename>
         file.</para>
       </listitem>
     </itemizedlist>
   </section>
 
   <section>
-    <title>Version &#62;= 1.3.7</title>
+    <title>Version &gt;= 1.3.7</title>
 
     <itemizedlist>
       <listitem>
@@ -550,14 +713,14 @@ rpm -Uvh --force shorewall-1.3.10-1.noarch.rpm
         class="directory">/etc/</filename><filename>shorewall.conf</filename>
         will need to include the following rules in their <filename
         class="directory">/etc/shorewall/</filename><filename>icmpdef</filename>
-        file (creating this file if necessary):
-        <programlisting>
+        file (creating this file if necessary): <programlisting>
 run_iptables -A icmpdef -p ICMP --icmp-type echo-reply -j ACCEPT
 run_iptables -A icmpdef -p ICMP --icmp-type source-quench -j ACCEPT
 run_iptables -A icmpdef -p ICMP --icmp-type destination-unreachable -j ACCEPT
 run_iptables -A icmpdef -p ICMP --icmp-type time-exceeded -j ACCEPT
 run_iptables -A icmpdef -p ICMP --icmp-type parameter-problem -j ACCEPT
-					</programlisting> Users having an <filename class="directory">/etc/shorewall/</filename><filename>icmpdef</filename>
+					</programlisting> Users having an <filename
+        class="directory">/etc/shorewall/</filename><filename>icmpdef</filename>
         file may remove the <command>./etc/shorewall/icmp.def</command>
         command from that file since the <filename>icmp.def</filename> file is
         now empty.</para>
@@ -566,24 +729,37 @@ run_iptables -A icmpdef -p ICMP --icmp-type parameter-problem -j ACCEPT
   </section>
 
   <section>
-    <title>Upgrading Bering to Shorewall &#62;= 1.3.3</title>
+    <title>Upgrading Bering to Shorewall &gt;= 1.3.3</title>
 
     <itemizedlist>
       <listitem>
         <para>To properly upgrade with Shorewall version 1.3.3 and later:
-        <orderedlist numeration="arabic"><listitem><para>Be sure you have a
-        backup -- you will need to transcribe any Shorewall configuration
-        changes that you have made to the new configuration.</para></listitem><listitem><para>Replace
-        the <filename>shorwall.lrp</filename> package provided on the Bering
-        floppy with the later one. If you did not obtain the later version
-        from Jacques&#39;s site, see additional instructions below.</para></listitem><listitem><para>Edit
-        the <filename class="directory">/var/lib/lrpkg/</filename><filename>root.exclude.list</filename>
-        file and remove the <filename>/var/lib/shorewall</filename> entry if
-        present. Then do not forget to backup <filename>root.lrp</filename>!</para></listitem></orderedlist>
-        The .lrp that I release isn&#39;t set up for a two-interface firewall
-        like Jacques&#39;s. You need to follow the instructions for setting up
-        a two-interface firewall plus you also need to add the following two
-        Bering-specific rules to <filename class="directory">/etc/shorewall/</filename><filename>rules</filename>:
+        <orderedlist numeration="arabic">
+            <listitem>
+              <para>Be sure you have a backup -- you will need to transcribe
+              any Shorewall configuration changes that you have made to the
+              new configuration.</para>
+            </listitem>
+
+            <listitem>
+              <para>Replace the <filename>shorwall.lrp</filename> package
+              provided on the Bering floppy with the later one. If you did not
+              obtain the later version from Jacques's site, see additional
+              instructions below.</para>
+            </listitem>
+
+            <listitem>
+              <para>Edit the <filename
+              class="directory">/var/lib/lrpkg/</filename><filename>root.exclude.list</filename>
+              file and remove the <filename>/var/lib/shorewall</filename>
+              entry if present. Then do not forget to backup
+              <filename>root.lrp</filename>!</para>
+            </listitem>
+          </orderedlist> The .lrp that I release isn't set up for a
+        two-interface firewall like Jacques's. You need to follow the
+        instructions for setting up a two-interface firewall plus you also
+        need to add the following two Bering-specific rules to <filename
+        class="directory">/etc/shorewall/</filename><filename>rules</filename>:
         <programlisting>
 # Bering specific rules:
 # allow loc to fw udp/53 for dnscache to work
@@ -604,41 +780,55 @@ ACCEPT loc fw tcp 80
         <para>If you have a pair of firewall systems configured for failover
         or if you have asymmetric routing, you will need to modify your
         firewall setup slightly under Shorewall versions 1.3.6 and 1.3.7
-        <orderedlist><listitem><para>Create the file <filename
-        class="directory">/etc/shorewall/</filename><filename>newnotsyn</filename>
-        and in it add the following rule: <!-- The following code wraps off of the document. I have added the comment above the command. -->
-        <programlisting>
+        <orderedlist>
+            <listitem>
+              <para>Create the file <filename
+              class="directory">/etc/shorewall/</filename><filename>newnotsyn</filename>
+              and in it add the following rule: <!-- The following code wraps off of the document. I have added the comment above the command. -->
+              <programlisting>
 # So that the connection tracking table can be rebuilt
 # from non-SYN packets after takeover.
 run_iptables -A newnotsyn -j RETURN
- 							</programlisting></para></listitem><listitem><para>Create <filename
-        class="directory">/etc/shorewall/</filename><filename>common</filename>
-        (if you don&#39;t already have that file) and include the following:
-        <programlisting>
+ 							</programlisting></para>
+            </listitem>
+
+            <listitem>
+              <para>Create <filename
+              class="directory">/etc/shorewall/</filename><filename>common</filename>
+              (if you don't already have that file) and include the following:
+              <programlisting>
 #Accept Acks to rebuild connection tracking table.
 run_iptables -A common -p tcp --tcp-flags ACK,FIN,RST ACK -j ACCEPT
 
 ./etc/shorewall/common.def
-							</programlisting></para></listitem></orderedlist></para>
+							</programlisting></para>
+            </listitem>
+          </orderedlist></para>
       </listitem>
     </itemizedlist>
   </section>
 
   <section>
-    <title>Versions &#62;= 1.3.5</title>
+    <title>Versions &gt;= 1.3.5</title>
 
     <itemizedlist>
       <listitem>
         <para>Some forms of pre-1.3.0 rules file syntax are no longer
-        supported. <example label="1"><title></title><programlisting>
+        supported. <example label="1">
+            <title></title>
+
+            <programlisting>
 ACCEPT    net    loc:192.168.1.12:22    tcp    11111    -    all
-						</programlisting></example> Must be replaced with:
-        <programlisting>
+						</programlisting>
+          </example> Must be replaced with: <programlisting>
 DNAT	net	loc:192.168.1.12:22	tcp	11111
-					</programlisting> <example label="2"><title></title><programlisting>
+					</programlisting> <example label="2">
+            <title></title>
+
+            <programlisting>
 ACCEPT	loc	fw::3128	tcp	80	-	all
-						</programlisting></example> Must be replaced with:
-        <programlisting>
+						</programlisting>
+          </example> Must be replaced with: <programlisting>
 REDIRECT	loc	3128	tcp	80
 						</programlisting></para>
       </listitem>
@@ -646,7 +836,7 @@ REDIRECT	loc	3128	tcp	80
   </section>
 
   <section>
-    <title>Version &#62;= 1.3.2</title>
+    <title>Version &gt;= 1.3.2</title>
 
     <itemizedlist>
       <listitem>