Updated for Shorewall 3.0

git-svn-id: https://shorewall.svn.sourceforge.net/svnroot/shorewall/trunk@3039 fbd18981-670d-0410-9b5c-8dc0c1a9a2bb
2025-01-02 19:49:08 +01:00 · 2005-11-20 09:49:00 +00:00 · 2005-11-20 09:49:00 +00:00 · a70b5432ff
commit a70b5432ff
parent 5dd5117034
1 changed files with 248 additions and 257 deletions
--- a/Shorewall-docs2/standalone_fr.xml
+++ b/Shorewall-docs2/standalone_fr.xml
@ -25,9 +25,15 @@
        <surname>Demassieux</surname>
      </author>
      <author>
        <firstname>Guy</firstname>
        <surname>Marcenac</surname>
      </author>
    </authorgroup>
-    <pubdate>2005-01-17</pubdate>
+    <pubdate>2005-11-19</pubdate>
    <copyright>
      <year>2002-2005</year>
@ -37,6 +43,8 @@
      <holder>Patrice Vetsel</holder>
      <holder>Fabien Demasieux</holder>
      <holder>Guy Marcenac</holder>
    </copyright>
    <legalnotice>
@ -53,14 +61,13 @@
  <note>
    <para><emphasis role="underline">Notes du traducteur :</emphasis> Le guide
    initial a été traduit par <ulink
-    url="mailto:vetsel.patrice@wanadoo.fr">VETSEL Patrice</ulink> que je
+    url="mailto:vetsel.patrice@wanadoo.fr">VETSEL Patrice</ulink> et la
-    remercie. J'en ai assuré la révision pour l'adapter à la version 2 de
+    révision pour la version 2 de Shorewall a été effectuée par <ulink
-    Shorewall. J'espère vous faciliter l'accès et la prise en main d'un
+    url="mailto:fd03x@wanadoo.fr">Fabien Demassieux</ulink>. J'ai assuré la
-    firewall performant, efficace, adaptable et facile d'utilisation. Donc
+    révision pour l'adapter à la version 3 de Shorewall et Thierry Boudet m'a
-    félicitations pour la qualité du travail et la disponibilité offerte par
+    beaucoup aidé avec son regard de relecteur impitoyable. Si vous trouvez
-    Thomas M. Eastep. Si vous trouvez des erreurs ou des améliorations à
+    des erreurs ou des améliorations à apporter vous pouvez me contacter
-    apporter vous pouvez me contacter <ulink
+    <ulink url="mailto:guy@posteurs.com">Guy Marcenac</ulink>.</para>
    url="mailto:fd03x@wanadoo.fr">Fabien Demassieux</ulink></para>
  </note>
  <section>
@ -84,7 +91,9 @@
      <listitem>
        <para>Une connexion passant par un modem câble, ADSL, ISDN, Frame
-        Relay, rtc...</para>
+        Relay, rtc...ou bien une connexion à un réseau local (LAN) et vous
        souhaitez simplement protéger votre système linux des autres systèmes
        sur ce réseau local.</para>
      </listitem>
    </itemizedlist>
@ -108,9 +117,10 @@
    <section>
      <title>Avant de commencer</title>
-      <para>Je recommande en premier la lecture complète du guide afin de se
+      <para>Je recommande de commencer par une lecture complète du guide afin
-      familiariser avec les tenants et aboutissants puis de revenir sur les
+      de se familiariser avec les tenants et aboutissants, puis de recommencer
-      modifications de votre configuration adapté à votre système.</para>
+      et seulement alors d'appliquer vos modifications de
      configuration.</para>
      <caution>
        <para>Si vous éditez vos fichiers de configuration sur un système
@ -123,26 +133,21 @@
        <command>dos2unix</command> sur la copie avant de l'utiliser avec
        Shorewall.</para>
-        <itemizedlist>
+        <simplelist>
-          <listitem>
+          <member><ulink url="http://www.simtel.net/pub/pd/51438.html">Version
-            <para><ulink
+          Windows de dos2unix</ulink></member>
            url="http://www.simtel.net/pub/pd/51438.html"><trademark>Windows</trademark>
            Version of <command>dos2unix</command></ulink></para>
          </listitem>
-          <listitem>
+          <member><ulink
-            <para><ulink
+          url="http://www.megaloman.com/~hany/software/hd2u/">Version Linux de
-            url="http://www.megaloman.com/%7Ehany/software/hd2u/">Linux
+          dos2unix</ulink></member>
-            Version of <command>dos2unix</command></ulink></para>
+        </simplelist>
          </listitem>
        </itemizedlist>
      </caution>
    </section>
    <section>
      <title>Conventions</title>
-      <para>Les points ou les modifications s'imposent sont indiqués par
+      <para>Les points ou les modifications qui s'imposent sont indiqués par
      <inlinegraphic fileref="images/BD21298_.gif" format="GIF" />.</para>
    </section>
  </section>
@ -152,12 +157,12 @@
    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
-    <para>Si vous êtes équipé d'un modem <acronym>ADSL</acronym> et utilisez
+    <para>Si vous êtes équipé d'un modem <acronym>ADSL</acronym> et que vous
-    <acronym>PPTP</acronym> pour communiquer avec un serveur à travers ce
+    utilisez <acronym>PPTP</acronym> pour communiquer avec un serveur à
-    modem, vous devez faire le changement <ulink
+    travers ce modem, vous devez faire les changements <ulink
-    url="PPTP.htm#PPTP_ADSL">suivant</ulink> en plus de ceux ci-dessous.
+    url="PPTP.htm#PPTP_ADSL">suivants</ulink> en plus de ceux décrits
-    <acronym>ADSL</acronym> avec <acronym>PPTP</acronym> est commun en Europe,
+    ci-dessous. <acronym>ADSL</acronym> avec <acronym>PPTP</acronym> est
-    ainsi qu'en Australie.</para>
+    commun en Europe, notamment en Autriche.</para>
  </section>
  <section>
@ -166,52 +171,86 @@
    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
    <para>Les fichiers de configuration pour Shorewall sont situés dans le
-    répertoire /etc/shorewall -- pour de simples paramétrages, vous n'avez à
+    répertoire <filename class="directory">/etc/shorewall</filename> -- pour
-    faire qu'avec quelques un d'entre eux comme décris dans ce guide.<tip>
+    de simples paramétrages, vous n'aurez à faire qu'à quelques un d'entre eux
-        <para>Après avoir <ulink url="Install.htm">installé Shorewall</ulink>,
+    comme décrit dans ce guide. Après avoir <ulink url="Install.htm">installé
-        téléchargez <ulink
+    Shorewall</ulink>,vous pourrez trouver les exemples de la manière
-        url="http://www1.shorewall.net/pub/shorewall/Samples/">l'exemple
+    suivante:</para>
-        one-interface</ulink>, décompressez le (<command>tar
+
-        <option>-zxvf</option>
+    <para><orderedlist>
-        <filename>one-interface.tgz</filename></command>) et copiez les
+        <listitem>
-        fichiers dans <filename class="directory">/etc/shorewall</filename>
+          <para>Si vous avez intallé en utilisant un RPM, les exemples seront
-        <emphasis role="bold">(ces fichiers remplaceront les
+          dans le sous-répertoire <filename
-        initiaux)</emphasis>.</para>
+          class="directory">Samples/one-interface/</filename> du répertoire de
-      </tip>Parallèlement à la présentation, je vous suggère de jeter un oeil
+          la documentation de Shorewall. Si vous ne savez pas où se trouve le
-    à ceux physiquement présents sur votre système -- chacun des fichiers
+          répertoire de la documentation de Shorewall, vous pouvez trouver les
-    contient des instructions de configuration détaillées et des entrées par
+          exemples en utilisant cette commande:</para>
-    défaut.</para>
+
          <programlisting>~# rpm -ql shorewall | fgrep one-interface
 /usr/share/doc/packages/shorewall/Samples/one-interface
 /usr/share/doc/packages/shorewall/Samples/one-interface/interfaces
 /usr/share/doc/packages/shorewall/Samples/one-interface/policy
 /usr/share/doc/packages/shorewall/Samples/one-interface/rules
 /usr/share/doc/packages/shorewall/Samples/one-interface/zones
 ~#</programlisting>
        </listitem>
        <listitem>
          <para>Si vous avez installé depuis le tarball, les exemples sont
          dans le repéertoire <filename>Samples/one-interface</filename> du
          tarball.</para>
        </listitem>
        <listitem>
          <para>Si vous avez installé en utlisant un .deb, les exemples sont
          dans
          <filename>/usr/share/doc/shorewall/examples/one-interface</filename>.</para>
        </listitem>
      </orderedlist><warning>
        <para><emphasis role="bold">Note aux utilisateurs de
        Debian</emphasis></para>
        <para>Si vous vous servez du .deb pour installer, vous vous rendrez
        compte que votre répertoire <filename>/etc/shorewall</filename> est
        vide. Ceci est voulu. Les squelettes des fichiers de configuration se
        trouvent sur votre système dans le répertoire <filename
        class="directory">/usr/share/doc/shorewall/default-config</filename>.
        Copiez simplement les fichiers dont vous avez besoin depuis ce
        répertoire dans <filename class="directory">/etc/shorewall</filename>,
        puis modifiez ces copies.</para>
        <para>Remarquez que vous devez copier <filename>
        /usr/share/doc/shorewall/default-config/shorewall.conf</filename> et
        <filename>/usr/share/doc/shorewall/default-config/modules</filename>
        dans <filename
        class="directory"><filename>/etc/shorewall</filename></filename> même
        si vous ne modifiez pas ces fichiers.</para>
      </warning></para>
    <para>Au fur et à mesure de la présentation de chaque fichier, je vous
    suggère de jeter un oeil à ceux physiquement présents sur votre système --
    chacun des fichiers contient des instructions de configuration détaillées
    et des entrées par défaut.</para>
    <para>Shorewall voit le réseau où il fonctionne, comme un ensemble de
-    zones.Dans les fichiers de configuration fournis pour une unique
+    <emphasis>zones</emphasis>. Dans les fichiers de configuration fournis
-    interface, une seule zone est définie :</para>
+    dans l'archive d'exemples pour une unique interface (one-interface), deux
    zones seulement sont définies :</para>
-    <informaltable>
+    <para><programlisting>#ZONE   TYPE    OPTIONS                 IN                      OUT
-      <tgroup cols="2">
+#                                       OPTIONS                 OPTIONS
-        <thead>
+fw      firewall
-          <row>
+net     ipv4</programlisting></para>
            <entry align="center">Name</entry>
-            <entry align="center">Description</entry>
+    <para>Les zones de Shorewall sont définies dans <filename><ulink
-          </row>
+    url="Documentation.htm#Zones">/etc/shorewall/zones</ulink></filename>.</para>
        </thead>
-        <tbody>
+    <para>Remarquez que Shorewall reconnaît le système de firewall comme sa
-          <row>
+    propre zone. Le nom de la zone firewall (<emphasis
-            <entry>net</entry>
+    role="bold">fw</emphasis> dans l'exemple plus haut) est stocké dans la
-
+    variable d'environnement <emphasis>$FW</emphasis> qui peut être utilisée
-            <entry>The Internet</entry>
+    depuis l'ensemble des autres fichiers de configuration de Shorewall, pour
-          </row>
+    faire référence au firewall lui-même.</para>
        </tbody>
      </tgroup>
    </informaltable>
    <para>Les zones de Shorewall sont définies dans <ulink
    url="Documentation.htm#Zones"><filename>/etc/shorewall/zones</filename></ulink>.</para>
    <para>Shorewall reconnaît aussi le système de firewall comme sa propre
    zone - par défaut, le firewall est connu comme <emphasis
    role="bold"><varname>fw</varname></emphasis>.</para>
    <para>Les règles concernant le trafic à autoriser ou à interdire sont
    exprimées en utilisant les termes de zones.</para>
@ -221,36 +260,34 @@
        <para>Vous exprimez votre politique par défaut pour les connexions
        d'une zone vers une autre zone dans le fichier <ulink
        url="Documentation.htm#Policy"><filename
-        class="directory">/etc/shorewall/</filename><filename>policy</filename></ulink>.</para>
+        class="directory">/etc/shorewall/policy</filename></ulink>.</para>
      </listitem>
      <listitem>
        <para>Vous définissez les exceptions à ces politiques pas défaut dans
-        le fichier <ulink url="Documentation.htm#Rules"><filename
+        le fichier <ulink url="Documentation.htm#Rules"><filename>
-        class="directory">/etc/shorewall/</filename><filename>rules</filename></ulink>.</para>
+        /etc/shorewall/rules</filename></ulink>.</para>
      </listitem>
    </itemizedlist>
    <para>Pour chaque connexion demandant à entrer dans le firewall, la
-    requête est en premier lieu comparée par rapport au fichier <filename
+    requête est en premier lieu vérifiée par rapport au fichier <filename
-    class="directory">/etc/shorewall/</filename><filename>rules</filename>. Si
+    class="directory">/etc/shorewall/rules</filename>. Si aucune règle dans ce
-    aucune règle dans ce fichier ne correspond à la demande de connexion alors
+    fichier ne correspond à la demande de connexion alors la première
-    la première politique dans le fichier <filename
+    politique dans le fichier <filename>/etc/shorewall/policy</filename> qui y
-    class="directory">/etc/shorewall/</filename><filename>policy</filename>
+    correspond sera appliquée. S'il y a une <ulink
-    qui y correspond sera appliquée. Si cette politique est
+    url="shorewall_extension_scripts.htm">action commune</ulink> définie pour
-    <varname>REJECT</varname> ou <varname>DROP</varname> la requête est dans
+    cette politique dans <filename>/etc/shorewall/actions</filename> ou dans
-    un premier temps comparée par rapport aux règles contenues dans le fichier
+    <filename>/usr/share/shorewall/actions.std</filename> cette action commune
-    <filename
+    sera exécutée avant que l'action spécifiée dans
-    class="directory">/etc/shorewall/</filename><filename>common</filename>,
+    <filename>/etc/shorewall/rules</filename> ne soit appliquée.</para>
    si ce fichier existe; sinon les régles dans le fichier <filename
    class="directory">/etc/shorewall/</filename><filename>common.def</filename>
    sont vérifiées.</para>
-    <para>Le fichier /etc/shorewall/policy inclus dans l'archive d'exemple
+    <para>Le fichier <filename>/etc/shorewall/policy</filename> inclus dans
-    (one-interface) contient les politiques suivantes:</para>
+    l'archive d'exemple (one-interface) contient les politiques
    suivantes:</para>
    <programlisting>#SOURCE ZONE   DESTINATION ZONE   POLICY   LOG LEVEL   LIMIT:BURST
-fw             net                ACCEPT
+$FW            net                ACCEPT
 net            all                DROP     info
 all            all                REJECT   info</programlisting>
@ -258,7 +295,7 @@ all            all                REJECT   info</programlisting>
    <orderedlist>
      <listitem>
-        <para>Permettre toutes demandes de connexion depuis le firewall vers
+        <para>Permettre toute demande de connexion depuis le firewall vers
        l'Internet</para>
      </listitem>
@ -274,8 +311,8 @@ all            all                REJECT   info</programlisting>
    </orderedlist>
    <para><inlinegraphic fileref="images/BD21298_.gif" /> A ce point, éditez
-    votre /etc/shorewall/policy et faites y les changements que vous
+    votre <filename>/etc/shorewall/policy</filename> et faites y les
-    désirez.</para>
+    changements que vous désirez.</para>
  </section>
  <section>
@ -283,14 +320,14 @@ all            all                REJECT   info</programlisting>
    <para>Le firewall possède une seule interface réseau. Lorsque la connexion
    Internet passe par un modem câble ou par un
-    <quote>Routeur</quote><acronym> ADSL</acronym>(pas un simple modem),
+    <quote>Routeur</quote><acronym> ADSL</acronym> (pas un simple modem),
    l'<emphasis>Interface Externe</emphasis> sera l'adaptateur ethernet qui y
    est connecté à ce <quote>Modem</quote> (e.g., <filename
-    class="devicefile">eth0</filename>) à moins de se que vous vous connectiez
+    class="devicefile">eth0</filename>). Par contre, si vous vous connectez
    par <emphasis>Point-to-Point Protocol</emphasis> over Ethernet
-    (<acronym>PPPoE</acronym>) ou <emphasis>Point-to-Point Tunneling
+    (<acronym>PPPoE</acronym>) ou <emphasis>par Point-to-Point Tunneling
-    Protocol</emphasis> (<acronym>PPTP</acronym>) dans ce cas l'interface
+    Protocol</emphasis> (<acronym>PPTP</acronym>) l'interface externe sera une
-    externe sera (e.g., <filename class="devicefile">ppp0</filename>). Si vous
+    interface ppp (e.g. <filename class="devicefile">ppp0</filename>). Si vous
    vous connectez par un simple modem (<acronym>RTC</acronym>), votre
    interface externe sera aussi <filename class="devicefile">ppp0</filename>.
    Si vous vous connectez en utilisant l'<acronym>ISDN</acronym>, votre
@ -299,175 +336,125 @@ all            all                REJECT   info</programlisting>
    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
-    <para>Si votre interface vers l'extérieur est <emphasis
+    <para>Les fichiers de configuration d'exemple pour une interface
-    role="bold">ppp0</emphasis> ou <emphasis role="bold">ippp0</emphasis>
+    (one-interface) supposent que votre interface externe est <filename
-    alors vous mettrez <varname>CLAMPMSS=yes</varname> dans le fichier
+    class="devicefile">eth0</filename>. Si votre configuration est différente,
-    <filename
+    vous devrez modifier le
-    class="directory">/etc/shorewall/</filename><filename>shorewall.conf</filename>.</para>
+    fichier<filename>/etc/shorewall/interfaces</filename> en conséquence. Tant
-
+    que vous y êtes, vous pourriez parcourir la liste des options qui sont
-    <para>Le fichier de configuration d'exemple pour une interface suppose que
+    spécifiées pour les interfaces. Quelques trucs:</para>
    votre interface externe est eth0. Si votre configuration est différente,
    vous devrez modifier le fichier<filename
    class="directory">/etc/shorewall/</filename><filename>interfaces</filename>
    en conséquence. Tant que vous y êtes, vous pourriez parcourir la liste des
    options qui sont spécifiées pour les interfaces. Quelques trucs:</para>
    <tip>
-      <para>Si votre interface vers l'extérieur est <filename
+      <para>Si votre interface vers l'extérieur est <emphasis
-      class="devicefile">ppp0</filename> ou <filename
+      role="bold"><filename class="devicefile">ppp0</filename></emphasis>
-      class="devicefile">ippp0</filename>, vous pouvez remplacer le detect
+      ou<emphasis role="bold"> <filename
-      dans la seconde colonne par un <quote>-</quote> (sans les
+      class="devicefile">ippp0</filename></emphasis>, vous pouvez remplacer le
      "detect" dans la seconde colonne par un <quote>-</quote> (sans les
      quotes).</para>
    </tip>
    <tip>
-      <para>Si votre interface vers l'extérieur est <filename
+      <para>Si votre interface vers l'extérieur est <emphasis
-      class="devicefile">ppp0</filename> or <filename
+      role="bold"><filename class="devicefile">ppp0</filename></emphasis> or
-      class="devicefile">ippp0</filename> u si vous avez une adresse
+      <emphasis role="bold"><filename
-      <acronym>IP</acronym> statique, vous pouvez enlever
+      class="devicefile">ippp0</filename></emphasis> ou si vous avez une
-      <varname>dhcp</varname> dans la liste des options .</para>
+      adresse <acronym>IP</acronym> statique, vous pouvez enlever
-    </tip>
+      <varname>"dhcp"</varname> de la liste des options .</para>
    <tip>
      <para>Si vous spécifiez <emphasis>norfc1918</emphasis> pour votre
      interface externe, vous pouvez vérifier périodiquement le <ulink
      url="errata.htm">Shorewall Errata</ulink> pour mettre à jour le fichier
      <filename>/usr/share/shorewall/rfc1918</filename>. Sinon, vous pouvez
      copier <filename>le fichier /usr/share/shorewall/rfc1918</filename> vers
      <filename>/etc/shorewall/rfc1918</filename> et <ulink
      url="myfiles.htm#RFC1918">adapter votre fichier
      <filename>/etc/shorewall/rfc1918</filename> comme je le
      fais</ulink>.</para>
    </tip>
  </section>
  <section>
-    <title>Adresse IP</title>
+    <title>Adresses IP</title>
    <para>Avant d'aller plus loin, nous devons dire quelques mots au sujet des
-    adresses Internet Protocol (<acronym>IP</acronym>). Normalement, votre
+    adresses IP. Normalement, votre Fournisseur d' Accès Internet (FAI) vous
-    fournisseur Internet <acronym>ISP</acronym> vous assignera une seule
+    assignera une seule adresse IP. Cette adresse peut être assignée par le
-    adresse IP. Cette adresse peut être assignée par le Dynamic Host
+    Dynamic Host Configuration Protocol (DHCP), lors de l'établissement de
-    Configuration Protocol (<acronym>DHCP</acronym>) ou lors de
+    votre connexion lorsque vous vous connectez (modem standard) ou bien
-    l'établissement de votre connexion lorsque vous vous connectez (modem
+    lorsque vous établissez un autre type de connexion PPP (PPPoA, PPPoE,
-    standard) ou établissez votre connexion <acronym>PPP</acronym>. Dans de
+    etc.). Dans certains cas , votre fournisseur peut vous assigner une
-    rares cas , votre provider peut vous assigner une adresse statique
+    adresse statique IP. Cela signifie que vous devez configurer l'interface
-    <acronym>IP</acronym> ; cela signifie que vous devez configurer
+    externe de votre firewall afin d'utiliser cette adresse de manière
-    l'interface externe de votre firewall afin d'utiliser cette adresse de
+    permanente.</para>
    manière permanente. La <emphasis role="bold">RFC 1918</emphasis> réserve
    plusieures plages d'adresses privées <emphasis>Private</emphasis>
    <acronym>IP</acronym> à cet fin:</para>
-    <table>
+    <para>La RFC 1918 reserve des plages d'adresses IP privées pour
-      <title>Example sub-network</title>
+    utilisation dans les réseau privés:</para>
-      <tgroup cols="2">
+    <programlisting>10.0.0.0    - 10.255.255.255
-        <colspec align="left" />
+172.16.0.0  - 172.31.255.255
 192.168.0.0 - 192.168.255.255</programlisting>
-        <tbody>
+    <para>Ces adresses sont parfois nommées <emphasis>non-routable</emphasis>s
-          <row>
+    car les routers centraux d'Internet ne renvoient pas un paquet dont la
-            <entry>Range:</entry>
+    destination est reservée par la RFC 1918. Dans certain cas cependant, les
-
+    FAI (fournisseurs d'accès Internet) peuvent assigner ces adresses et
-            <entry><systemitem class="ipaddress">10.10.10.0</systemitem> -
+    utiliser la Traduction d'Adresses Réseau (NAT <emphasis>Network Address
-            <systemitem class="ipaddress">10.10.10.255</systemitem></entry>
+    Translation</emphasis>) pour réécrire les en-têtes des paquets transmis
          </row>
          <row>
            <entry>Subnet Address:</entry>
            <entry><systemitem
            class="ipaddress">10.10.10.0</systemitem></entry>
          </row>
          <row>
            <entry>Broadcast Address:</entry>
            <entry><systemitem
            class="ipaddress">10.10.10.255</systemitem></entry>
          </row>
          <row>
            <entry>CIDR Notation:</entry>
            <entry><systemitem
            class="ipaddress">10.10.10.0/24</systemitem></entry>
          </row>
        </tbody>
      </tgroup>
    </table>
    <para>Ces adresses sont parfois nommées comme
    <emphasis>non-routable</emphasis> car les routers centraux d'Internet ne
    renvoient pas un paquet dont la destination est reservée par la RFC 1918.
    Dans certain cas cependant, les FAI (fournisseurs d'accès Internet)
    assignent ces adresses et utilisent ensuite NAT <emphasis>Network Address
    Translation</emphasis> pour réécrire les en-têtes de paquets renvoyés
    vers/depuis Internet.</para>
    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
-    <para>Avant de lancer Shorewall, regarder l'adresse IP de votre interface
+    <para>Avant de lancer Shorewall, <emphasis role="bold">il faut regarder
-    externe, et si elle est dans les plages précédentes, vous devez enlever
+    l'adresse IP de votre interface externe, et, si elle est dans les plages
-    l'option 'norfc1918' dans la ligne concernant l'interface externe dans le
+    précédentes, vous devez enlever l'option "norfc1918" dans la ligne
-    fichier <filename
+    concernant l'interface externe dans le fichier <filename><filename
-    class="directory">/etc/shorewall/</filename><filename>interfaces</filename>.</para>
+    class="directory">/etc/shorewall/</filename><filename>interfaces</filename></filename></emphasis>.</para>
  </section>
  <section>
    <title>Permettre d'autres connexions</title>
-    <para>Shorewall version 2.0.0 et postérieure inclus une collection
+    <para>Shorewall inclue une collection de macros qui peuvent être utilisées
-    d'actions qui peuvent être utilisées pour rapidemement autoriser ou
+    pour rapidemement autoriser ou refuser des services. Vous pouvez trouver
-    refuser des services. Pour voir les actions comprises avec votre version
+    une liste des macros comprises dans votre version de Shorewall en
-    de Shorewall, regardez dans le fichier
+    utilisant la commande <command>ls
-    <filename>/etc/shorewall/actions.std</filename>. Le nom de celles qui
+    <filename>/usr/share/shorewall/macro.*</filename></command>.</para>
    acceptent des connexions débutent par <quote>Allow</quote>.</para>
-    <para>Si vous souhaitez autoriser d'autre connexions depuis internet vers
+    <para>Si vous souhaitez autoriser des connections depuis internet vers
-    votre firewall, le format général utilisant l'action type
+    votre firewall et que vous avez trouvé une macro appropriée dans
-    <quote>Allow</quote> est:</para>
+    <filename><filename>/etc/shorewall/macro.*</filename></filename>, le
    format général d'une règle dans <filename>/etc/shorewall/rules</filename>
    est le suivant:</para>
-    <programlisting>#ACTION   SOURCE    DESTINATION     PROTO       DEST PORT(S)
+    <programlisting>#ACTION         SOURCE    DESTINATION     PROTO       DEST PORT(S)
-&lt;<emphasis>action</emphasis>&gt;  net       fw</programlisting>
+&lt;<emphasis>macro</emphasis>&gt;/ACCEPT  net       $FW</programlisting>
    <example>
-      <title>Vous voulez un serveur Web et POP3 accessible de l'extérieur sur
+      <title>Vous voulez un serveur Web et un serveur IMAP sur votre firewall
-      votre firewall:</title>
+      accessibles depuis l'extérieur:</title>
-      <programlisting>#ACTION   SOURCE    DESTINATION     PROTO       DEST PORT(S)
+      <programlisting>#ACTION     SOURCE    DESTINATION     PROTO       DEST PORT(S)
-AllowWeb  net       fw
+Web/ACCEPT  net       $FW
-AllowPOP3 net       fw</programlisting>
+IMAP/ACCEPT net       $FW</programlisting>
    </example>
-    <para>Au cas ou Shorewall n'inclue pas d'actions définies qui vous
+    <para>Vous pouvez aussi choisir de coder vos règles directement, sans
-    conviennent, vous pouvez les définir vous même ou coder directement les
+    utiliser de macro pré-définie. Ceci sera nécessaire quand aucune macro
-    régles dans <filename>/etc/shorewall/rules</filename> selon le format
+    pré-définie ne répondra à vos besoins. Dans ce cas, le format général
-    suivant:</para>
+    d'une règle dans <filename>/etc/shorewall/rules</filename> est:</para>
    <programlisting>#ACTION   SOURCE    DESTINATION     PROTO       DEST PORT(S)
-ACCEPT    net       fw              <emphasis>&lt;protocol&gt;</emphasis>  <emphasis>&lt;port&gt;</emphasis></programlisting>
+ACCEPT    net       $FW             <emphasis>&lt;protocol&gt;</emphasis>  <emphasis>&lt;port&gt;</emphasis></programlisting>
    <example>
-      <title>Vous voulez un serveur Web et POP3 accessible de l'extérieur sur
+      <title>Vous voulez un serveur Web et un serveur IMAP sur votre firewall
-      votre firewall:</title>
+      accessibles depuis l'extérieur:</title>
      <para><programlisting>#ACTION   SOURCE    DESTINATION     PROTO       DEST PORT(S)
-ACCEPT    net       fw              tcp          80
+ACCEPT    net       $FW             tcp          80
-ACCEPT    net       fw              tcp          110</programlisting></para>
+ACCEPT    net       $FW             tcp          143</programlisting></para>
    </example>
-    <para>Si vous ne savez pas quel port(s) et protocole(s) requièrent une
+    <para>Si vous ne savez pas quel port ou protocole utilise une application
-    application particulière, vous pouvez regarder <ulink
+    donnée, allez voir <ulink url="ports.htm">ici</ulink>.</para>
    url="ports.htm">ici</ulink>.</para>
    <important>
-      <para>Je ne recommande pas d'autoriser <command>telnet</command> vers/de
+      <para>Je ne recommande pas d'activer telnet depuis/vers internet car il
-      l'Internet parce qu'il utilise du texte en clair (même pour le login!).
+      utilise du texte en clair (y compris pour le login!). Si vous voulez un
-      Si vous voulez un accès shell à votre firewall, utilisez
+      accès shell à votre firewall, utilisez SSH:</para>
      <acronym>SSH</acronym>:</para>
-      <programlisting>#ACTION    SOURCE    DEST               PROTO     DEST PORT(S)
+      <programlisting>#ACTION     SOURCE    DESTINATION     PROTO       DEST PORT(S)
-AllowSSH   net       fw</programlisting>
+SSH/ACCEPT  net       $FW           </programlisting>
    </important>
    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
@ -483,46 +470,50 @@ AllowSSH   net       fw</programlisting>
    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
    <para>La <ulink url="Install.htm">procédure d'installation</ulink>
-    configure votre système pour lancer Shorewall au boot du système, mais au
+    configure votre système pour lancer Shorewall au boot du système, mais à
-    début avec la version 1.3.9 de Shorewall le lancement est désactivé,
+    partir de la version 1.3.9 de Shorewall le lancement est désactivé, de
-    n'essayer pas de lancer Shorewall avant que la configuration soit finie.
+    façon à ce que votre système ne tente pas de lancer Shorewall avant que la
-    Une fois que vous en aurez fini avec la configuration du firewall, vous
+    configuration ne soit terminée. Une fois que vous en avez fini avec la
-    pouvez permettre le lancement de Shorewall en supprimant le fichier
+    configuration de votre firewall, vous pouvez activer le lancement de
-    <filename
+    Shorewall en supprimant le fichier
-    class="directory">/etc/shorewall/</filename><filename>startup_disabled</filename>.</para>
+    <filename>/etc/shorewall/startup_disabled</filename>.</para>
    <important>
-      <para>Les utilisateurs des paquets .deb doivent éditer <filename
+      <para><emphasis role="bold">Les utilisateurs des paquets .deb doivent
-      class="directory">/etc/default/</filename><filename>shorewall</filename>
+      éditer <filename>/etc/default/shorewall</filename> et mettre
-      et mettre <varname>startup=1</varname>.</para>
+      <varname>startup=1</varname></emphasis>.</para>
    </important>
-    <para>Le firewall est activé en utilisant la commande
+    <para><important>
-    <quote><command>shorewall start</command></quote> et arrêté avec
+        <para><emphasis role="bold">Vous devez activer le lancement de
-    <quote><command>shorewall stop</command></quote>. Lorsque le firewall est
+        Shorewall en éditant
-    stoppé, le routage est autorisé sur les hôtes qui possèdent une entrée
+        <filename>/etc/shorewall/shorewall.conf</filename> et en y mettant
-    dans <filename
+        <command>STARTUP_ENABLED=Yes</command>.</emphasis></para>
-    class="directory">/etc/shorewall/</filename><filename><ulink
+      </important>Le firewall est activé en utilisant la commande
-    url="Documentation.htm#Routestopped">routestopped</ulink></filename>. Un
+    <quote><command>shorewall start</command></quote> et arrêté avec la
-    firewall qui tourne peut être relancé en utilisant la commande
+    commande <quote><command>shorewall stop</command></quote>. Lorsque le
-    <quote><command>shorewall restart</command></quote> command. Si vous
+    firewall est arrêté, le routage est autorisé sur les hôtes qui possèdent
-    voulez enlever toutes traces de Shorewall sur votre configuration de
+    une entrée dans <filename class="directory"><ulink
-    Netfilter, utilisez <quote><command>shorewall
+    url="Documentation.htm#Routestopped">/etc/shorewall/routestopped</ulink></filename>.
-    clear</command></quote>.</para>
+    Un firewall qui tourne peut être relancé en utilisant la commande
    <quote><command>shorewall restart</command></quote>. Si vous voulez
    enlever toutes traces de Shorewall sur votre configuration de Netfilter,
    utilisez "<emphasis role="bold">shorewall clear</emphasis>"</para>
    <warning>
      <para>Si vous êtes connecté à votre firewall depuis Internet, n'essayez
-      pas une commande <quote><command>shorewall stop</command></quote> tant
+      pas d'exécuter une commande <quote><command>shorewall
-      que vous n'avez pas ajouté une entrée pour votre adresse
+      stop</command></quote> tant que vous n'avez pas ajouté une entrée pour
-      <acronym>IP</acronym> (celle à partir de laquelle vous êtes connectée)
+      votre adresse <acronym>IP</acronym> (celle à partir de laquelle vous
-      dans <filename
+      êtes connecté) dans <filename><filename
-      class="directory">/etc/shorewall/</filename><filename>routestopped</filename>.
+      class="directory">/etc/shorewall/</filename><filename>routestopped</filename></filename>.
      De la même manière, je ne vous recommande pas d'utiliser
      <quote><command>shorewall restart</command></quote>; il est plus
      intéressant de créer <ulink
      url="configuration_file_basics.htm#Configs">une configuration
-      alternative</ulink> et de la tester en utilisant la commande
+      alternative</ulink> et de la tester en utilisant la <ulink
-      <quote><command>shorewall try</command></quote>.</para>
+      url="starting_and_stopping_shorewall.htm">commande "<emphasis
      role="bold">shorewall try</emphasis>"</ulink></para>
    </warning>
  </section>
@ -532,7 +523,7 @@ AllowSSH   net       fw</programlisting>
    <para>Je vous recommande vivement de lire la <ulink
    url="configuration_file_basics.htm">page des Fonctionnalités Générales des
    Fichiers de Configuration</ulink> -- elle contient des trucs sur les
-    possibilités de Shorewall pour rendre aisé l'administration de votre
+    possibilités de Shorewall pour rendre plus aisée l'administration de votre
    firewall Shorewall.</para>
  </section>