From c864ddbc95c41a746db7e540784306ffd390393b Mon Sep 17 00:00:00 2001 From: gmarcenac Date: Sun, 3 Dec 2006 17:21:52 +0000 Subject: [PATCH] syncing translations and original english docs (end) git-svn-id: https://shorewall.svn.sourceforge.net/svnroot/shorewall/trunk@5039 fbd18981-670d-0410-9b5c-8dc0c1a9a2bb --- docs-fr/FAQ_fr.xml | 702 ++++++++++++++++++++++++--------- docs-fr/standalone_fr.xml | 2 +- docs-fr/three-interface_fr.xml | 4 +- docs-fr/two-interface_fr.xml | 4 +- 4 files changed, 527 insertions(+), 185 deletions(-) diff --git a/docs-fr/FAQ_fr.xml b/docs-fr/FAQ_fr.xml index 72ac3876c..325598706 100644 --- a/docs-fr/FAQ_fr.xml +++ b/docs-fr/FAQ_fr.xml @@ -93,6 +93,8 @@ (FAQ 37) Je viens d'installer Shorewall sur Debian et le répertoire /etc/shorewall est vide!!! + Réponse: + Après avoir installé le paquetage .deb, avant de commencer à configurer Shorewall, vous devriez prendre connaissance de ce conseil @@ -142,7 +144,7 @@ -
+
Transfert de port (Redirection de Port)
@@ -237,8 +239,8 @@ DNAT net loc:<adresse IP locale>[:< - En tant que root, tapez shorewall show - nat + En tant que root, tapez shorewall[-lite] + show nat @@ -251,8 +253,8 @@ DNAT net loc:<adresse IP locale>[:<Est-ce que le décompte de paquets dans la première colonne est supérieur à zéro ? Si cela est le cas, la requête de connexion atteint le firewall et est bien redirigée vers le serveur. Dans ce - cas, le problème vient en général de l'absence de paramétrage ou - d'un paramétrage erroné de la passerelle par défaut sur le système + cas, le problème vient en général de l'absence de paramètrage ou + d'un paramètrage erroné de la passerelle par défaut sur le système local (celui vers lequel vous essayez de transférer les paquets -- sa passerelle par défaut devrait être l'adresse IP de l'interface du firewall connectée à ce système local). @@ -282,6 +284,20 @@ DNAT net loc:<adresse IP locale>[:<sniffer de paquets comme tcpdump ou ethereal. + + + Si le nombre de paquets est différent de zéro, vérifiez + dans votre log si la connexion est droppée ou rejetée. Si + c'est le cas, il est possible que vous ayez un problème de + définition de zone qui fasse que le serveur soit dans une zone + différente de ce qui est spécifié dans la colonne DEST. A + l'invite root, tapez "shorewall[-lite] show + zones" et assurez-vous que vous avez bien spécifié + dan la colonne DEST la première zone de la liste qui + correspond à OUT=<dev> et DEST=<ip> dans le + message REJECT/DROP de votre fichier log. + @@ -292,7 +308,8 @@ DNAT net loc:<adresse IP locale>[:< - Dan le fichier /etc/shorewall/rules: + Réponse:Dans le fichier + /etc/shorewall/rules: #ACTION SOURCE DEST PROTO DEST PORT DNAT net loc:192.168.1.3:22 tcp 1022 @@ -357,9 +374,10 @@ DNAT loc dmz:192.168.2.4 tcp 80 - $ETH0 Réponse: avec l'aimable autorisation de Ryan: en supposant que l'adresse de l'interface locale - de votre firewall soit 192.168.1.1, en ajoutant la règle suivante, le - port 4104 sera en écoute sur internet et le port 22 sera en écoute sur - votre LAN. + de votre firewall soit 192.168.1.1, si vous configurez SSHD pour qu'il + n'écoute que sur cette interface et que vous ajoutez la règle + suivante, le port 4104 sera en écoute sur internet et le port 22 sera + en écoute sur votre LAN. #ACTION SOURCE DEST PROTO DEST PORT(S) DNAT net fw:192.168.1.1:22 tcp 4104 @@ -370,32 +388,35 @@ DNAT net fw:192.168.1.1:22 tcp 4104 (FAQ 30) Quand doit-on utiliser des règles DNAT et quand doit-on utiliser des règles ACCEPT ? - Je vous suggère de revenir au guides de démarrage rapide - adapté à votre configuration. Ces guides couvrent ce sujet sous un angle - didactique. Vous devriez utiliser des règles DNAT pour les connexions - qui doivent aller dans le sens inverse de celles en provenance de la - SNAT/Masquerade. Ainsi, si vous utilisez la SNAT ou Masquerade depuis - votre réseau local vers internet, vous aurez besoin d'utiliser des - règles DNAT pour autoriser les connexions d'internet vers votre réseau - local. Si vous avez besoin d'intercepter des connexions lorsqu'elles - arrivent sur le firewall et que vous voulez les traiter sur le firewall - lui-même, vous utiliserez une règle REDIRECT.Dans tous les autres cas, - vous utiliserez ACCEPT. + Réponse: Je vous suggère de + revenir au guides de + démarrage rapide adapté à votre configuration. Ces guides + couvrent ce sujet sous un angle didactique. Vous devriez utiliser des + règles DNAT pour les connexions qui doivent aller dans le sens inverse + de celles en provenance de la SNAT/Masquerade. Ainsi, si vous utilisez + la SNAT ou Masquerade depuis votre réseau local vers internet, vous + aurez besoin d'utiliser des règles DNAT pour autoriser les connexions + d'internet vers votre réseau local. Vous utiliserez également des règles + DNAT si vous voulez ré-écrire l'adresse IP ou le numéro de port + destination. Si vous avez besoin d'intercepter des connexions + lorsqu'elles arrivent sur le firewall et que vous voulez les traiter sur + le firewall lui-même, vous utiliserez une règle REDIRECT. Dans tous les + autres cas, vous utiliserez ACCEPT.
(FAQ 38) Où trouver plus d'information sur la DNAT? - Ian Allen a écrit cet article au sujet de la DNAT et Linux. + Réponse: Ian Allen a écrit cet + article au sujet de la DNAT + et Linux.
(FAQ 48) Comment configurer un proxy transparent avec Shorewall? - Réponse: Vous pouvez voir Réponse: Vous pouvez voir Shorewall et Squid.
@@ -442,7 +463,9 @@ DNAT net fw:192.168.1.1:22 tcp 4104 le sous-réseau 192.168.1.0/24: tout le trafic redirigé par cette bidouille sera vu par le serveur comme provenant du firewall (192.168.1.254) au lieu de venir - du client d'origine! + du client d'origine! Ce qui fait que les logs d'accès du serveur + seront inutilisables pour déterminer quels hôtes locaux accèdent au + serveur. @@ -601,6 +624,22 @@ DNAT loc dmz:192.168.2.4 tcp 80 - 206 #ACTION SOURCE DEST PROTO DEST PORT SOURCE ORIGINAL # PORT DEST. DNAT loc dmz:192.168.2.4 tcp 80 - $ETH0_IP + + + Avec des adresses IP dynamiques, vous n'utiliserez pas + shorewall[-lite] save ni + shorewall[-lite] restore. + +
+ +
+ (FAQ 2c) J'ai essayé d'appliquer la réponse à la FAQ 2 à mon + interface externe et à la zone net. Cela ne marche pas. Pourquoi + ? + + Réponse: Avez-vous activé + IP_FORWARDING=On dans + shorewall.conf?
@@ -645,6 +684,55 @@ de deboguage de l'interface newnat.
Ports ouverts +
+ (FAQ 51) Comment ouvrir des ports dans Shorewall? + + Réponse: Aucune personne ayant + installé Shorewall en utilisant un des Guides de Démarrage Rapide + ne devrait avoir à poser cette question. + + Quel que soit le guide que vous avez utilisé, toutes les + communications sortantes sont ouvertes par défaut. Vous n'avez donc pas + à "ouvrir de port" en sortie. + + En entrée: + + + + Si vous avez installé en utilisant le guide Firewall Monoposte + (une interface), relisez cette + section SVP. + + + + Si vous avez utilisé le guide Firewall à deux interfaces pour + installer merci de relire ces sections: Transfert de ports (DNAT), + et Autres + connexions + + + + Si vous avez utilisé le guide Firewall à trois interfaces pour + installer merci de relire ces sections: Transfert de ports (DNAT) et + Autres + Connexions + + + + Si vous avez installé en utilisant le Guide de configuration + Shorewall vous feriez mieux de lire le guide à nouveau -- + vous avez vraiment raté beaucoup de choses. + + + + Voyez également la section + Transfert de Ports de cette FAQ. +
+
(FAQ 4) Je viens juste d'utiliser un scanner de port en ligne pour vérifier le paramètrage de mon firewall et certains ports @@ -657,13 +745,14 @@ de deboguage de l'interface newnat.</programlisting></para> DROP, et la politique par défaut d'internet vers toutes les zones est DROP. L'action Drop est définie dans le fichier <filename>/usr/share/shorewall/action.Drop</filename> qui invoque - lui-même l'action <emphasis role="bold">RejectAuth</emphasis> (définie - dans le fichier - <filename>/usr/share/shorewall/action.RejectAuth</filename>). Cela est - nécessaire pour éviter les problèmes de connexion sortante à des - services qui utilisent le mécanisme <quote>Auth</quote> pour identifier - les utilisateurs. C'est le seul service configuré par défaut pour - rejeter (REJECT) les paquets.</para> + lui-même la macro <emphasis role="bold">Auth</emphasis> (définie dans le + fichier <filename>/usr/share/shorewall/macro.Auth</filename>) qui + spécifie l'action <emphasis role="bold">REJECT</emphasis> (c.a.d., + <emphasis role="bold">Auth/REJECT</emphasis>). Cela est nécessaire pour + éviter les problèmes de connexion sortante à des services qui utilisent + le mécanisme <quote>Auth</quote> pour identifier les utilisateurs. C'est + le seul service configuré par défaut pour rejeter (REJECT) les + paquets.</para> <para>Si vous voyez d'autres ports TCP fermés autres que le port 113 (auth) c'est que vous avez ajouté des règles REJECT pour ces ports ou @@ -703,32 +792,19 @@ de deboguage de l'interface newnat.</programlisting></para> <title>(FAQ 4c) Comment utiliser Shorewall avec PortSentry? Vous - trouverez ici la description d'une bonne intégration de - Shorewall et PortSentry. + url="http://www.shorewall.net/pub/shorewall/contrib/PortsentryHOWTO.txt">Answer: Vous trouverez ici la + description d'une bonne intégration de Shorewall et + PortSentry.
-
- (FAQ 51) Comment <quote>ouvrir un port</quote> avec Shorewall - ? +
+ (FAQ 4d) Comment utiliser Shorewall avec Snort-Inline? - Réponse: Ça dépend - … - - Si l'application qui sert ce port tourne sur le même système que - Shorewall, ajoutez cette règle: - - #ACTION SOURCE DEST PROTO DEST PORT(S) -ACCEPT net $FW <protocole> <numéro de port> - - Où <protocole> est tcp ou - udp et <numéro de port> est le port que vous - voulez ouvrir. - - Si l'application qui sert ce port tourne sur un autre système sur - votre réseau local, voyez la FAQ 1 - SVP. + Réponse: Allez + voir cette contribution de Michael Cooke.
@@ -792,8 +868,8 @@ ACCEPT net $FW <protocole> <num
(FAQ 29) FTP ne fonctionne pas - Voir la page Shorewall et - FTP. + Réponse: Voir la page Shorewall et FTP.
@@ -889,9 +965,21 @@ LOGBURST="" temporairement de la journalisation Shorewall les messages d'erreur pour ce port ? - Ajoutez temporairement la règle suivante: + Réponse: Ajoutez temporairement + la règle suivante: - DROP net fw udp 10619 + #ACTION SOURCE DEST PROTO DEST PORT(S) +DROP net fw udp 10619 + + Sinon, si vous ne mettez pas le paramètre BLACKLIST_LOGLEVEL et + que vous avez spécifié l'option 'blacklist' sur votre interface + externe dans le fichier + /etc/shorewall/interfaces, vous pouvez + blacklister le port. Dans le fichier + /etc/shorewall/blacklist: + + #ADDRESS/SUBNET PROTOCOL PORT +- udp 10619
@@ -899,9 +987,9 @@ LOGBURST="" journalisation Shorewall est-elle si longue ? Je pensais que l'adresse MAC ne faisait que 6 octets. - Ce qui est labelisé comme adresse MAC dans les messages de - journalisation Shorewall est en fait l'entête de la trame ethernet. - Elle contient: + Réponse: Ce qui est labelisé + comme adresse MAC dans les messages de journalisation Shorewall est en + fait l'entête de la trame ethernet. Elle contient: @@ -1061,6 +1149,13 @@ LOGBURST="" politique ou alors ce paquet correspond à une règle incluant un niveau de journalisation. + + A partir de Shorewall 3.3.3, les paquets loggés par ces + chaines peuvent avoir une source et/ou une destination + n'appartenant à aucune zone définie (voir le résultat de la + commande shorewall[-lite] show zones). + Souvenez-vous que l'appartenance à une zone nécessite à la fois + une interface du firewall et une adresse ip. @@ -1130,19 +1225,22 @@ LOGBURST="" Ce paquet a une adresse IP source qui n'est définie dans - aucune de vos zones (shorewall check et regardez - les définitions de zones) ou alors la chaîne est FORWARD et - l'adresse IP de destination ne figure dans aucune de vos zones - définies. Si la chaîne est FORWARD et les interfaces IN et OUT - sont identiques, vous avez sans doute besoin de l'option routeback sur cette interface dans le - fichier shorewall[-lite] show + zones et regardez les définitions de zones) ou + alors la chaîne est FORWARD et l'adresse IP de destination ne + figure dans aucune de vos zones définies. Si la chaîne est FORWARD + et les interfaces IN et OUT sont identiques, vous avez sans doute + besoin de l'option routeback sur + cette interface dans le fichier /etc/shorewall/interfaces ou bien vous avez besoin de l'option routeback pour l'entrée adéquate dans le fichier /etc/shorewall/hosts . + + A partir de 3.3.3, de tels paquets peuvent aussi être loggés + par les chaines <zone>2all et all2all. @@ -1153,6 +1251,9 @@ LOGBURST="" Ce paquet a une adresse IP destination qui n'est définie dans aucune de vos zones (shorewall check et regardez les définitions de zones). + + A partir Shorewall 3.3.3, de tels paquets peuvent aussi être + loggés par les chaines fw2all et all2all. @@ -1284,9 +1385,9 @@ LOGBURST="" Réponse: Bien que la plupart des gens associent ICMP (Internet Control Message Protocol) à - ping, ICMP est une pièce clé d'internet. ICMP sert à - informer l'expéditeur d'un paquet des problèmes rencontrés. C'est ce qui - se produit ici. Malheureusement, de nombreuses implémentations ne + ping, ICMP est une pièce clé de IP. ICMP sert à informer + l'expéditeur d'un paquet des problèmes rencontrés. C'est ce qui se + produit ici. Malheureusement, de nombreuses implémentations ne fonctionnent pas dès lors que la traduction d'adresses est impliquée (y compris SNAT, DNAT et Masquerade). C'est ce que vous voyez avec à travers ces messages. Quand Netfilter renvoie ces messages, la partie @@ -1321,10 +1422,10 @@ LOGBURST=""
- (FAQ 52) Quand je blackliste une adresse IP avec "shorewall drop - www.xxx.yyy.zzz", pourquoi est-ce qu'il y a toujours des entrées - REDIRECT et DNAT en provenance de cette adresse dans mon journal - ? + (FAQ 52) Quand je blackliste une adresse IP avec + "shorewall[-lite] drop www.xxx.yyy.zzz", pourquoi est-ce qu'il y a + toujours des entrées REDIRECT et DNAT en provenance de cette adresse + dans mon journal ? J'ai blacklisté l'adresse 130.252.100.59 avec la commande shorewall drop 130.252.100.59 mais je vois toujours @@ -1337,11 +1438,25 @@ LOGBURST="" Réponse: Veuillez vous référer à Shorewall Netfilter Documentation. La journalisation des règles REDIRECT et DNAT se - produit dans la chaine PREROUTING de la table nat dans laquelle + produit dans la chaîne PREROUTING de la table nat dans laquelle l'adresse est toujours valide. Le blacklistage se produit dans les - chaines INPUT et FORWARD de la table filter qui ne sont traversées que + chaînes INPUT et FORWARD de la table filter qui ne sont traversées que plus tard.
+ +
+ (FAQ 56) Quand je démarre ou redémarre Shorewall, je vois ces + messages dans mon fichier log. Est-ce grave ? + +
+ modprobe: Can't locate module ipt_physdev +modprobe: Can't locate module iptable_raw +
+ + Réponse: Non. Ceci se produit + lorsque shorewall teste votre système pour déterminer les fonctions + qu'il supporte. Ils ne présentent aucun risque. +
@@ -1391,15 +1506,16 @@ LOGBURST=""
(FAQ 7) Quand j'arrête Shorewall avec la commande - <quote>shorewall stop</quote>, je ne peux plus me connecter à quoi que - ce soit. Pourquoi cette commande ne fonctionne-t-elle pas? + shorewall[-lite] stop, je ne peux plus me connecter à + quoi que ce soit. Pourquoi cette commande ne fonctionne-t-elle + pas? - La commande stop est prévue - pour mettre votre firewall dans un état de sécurité où seuls les hôtes - listés dans le fichier /etc/shorewall/routestopped - sont activés. Si vous voulez ouvrir complètement votre firewall, il vous - faut utiliser la commande shorewall - clear. + Réponse: La commande + stop est prévue pour mettre votre firewall + dans un état de sécurité où seuls les hôtes listés dans le fichier + /etc/shorewall/routestopped sont activés. Si vous + voulez ouvrir complètement votre firewall, il vous faut utiliser la + commande shorewall clear.
@@ -1480,7 +1596,8 @@ Creating input Chains... (FAQ 22) Je voudrais exécuter certaines commandes iptables au démarrage de Shorewall. Dans quel fichier les mettre? - Vous pouvez placer ces commandes dans une des Réponse: Vous pouvez placer ces + commandes dans une des Scripts d'Extension Shorewall. Assurez-vous de bien examiner le contenu des chaînes que vos commandes vont modifier afin d'être certain que ces commandes @@ -1497,12 +1614,13 @@ Creating input Chains...
(FAQ 34) Comment accélérer le démarrage (start/restart)? - L'utilisation d'un shell léger tel que ash peut - diminuer de façon très significative le temps nécessaire pour démarrer - (start/restart) Shorewall. Voyez la variable - SHOREWALL_SHELL dans le fichier shorewall.conf . + Réponse: L'utilisation d'un shell + léger tel que ash peut diminuer de façon très + significative le temps nécessaire pour démarrer (start/restart) + Shorewall. Voyez la variable SHOREWALL_SHELL dans le fichier + shorewall.conf + . Utilisez un émulateur de terminal rapide -- en particulier la console KDE défile beaucoup plus vite que le terminal Gnome. Vous pouvez @@ -1568,6 +1686,24 @@ Creating input Chains... l'ancienne configuration enregistrée dans /var/lib/shorewall/restore lors du prochain démarrage de votre système. + + Finalement, le temps pendant lequel les nouvelles connexions sont + bloquées durant le redémarrage de Shorewall peut être réduit dans de + très grande proportions en upgradant vers Shorewall 3.2 ou une version + ultérieure. A partir de la 3.2, shorewall [re]start + procède en deux étapes: + + + + La configuration courante est compilée afin de produire un + programme shell conçu pour votre configuration. + + + + Si la compilation se déroule sans erreur, le programme compilé + est exécuté pour [re]démarrer votre firewall. + +
@@ -1583,8 +1719,8 @@ Creating input Chains...
- (FAQ 45) Pourquoi est-ce que "shorewall start" échoue lorsque je - tente de mettre en place SNAT/Masquerade? + (FAQ 45) Pourquoi est-ce que "shorewall[-lite] start" échoue + lorsque je tente de mettre en place SNAT/Masquerade? shorewall start produit la sortie suivante: @@ -1620,24 +1756,100 @@ iptables: Invalid argument
+ +
+ (FAQ 59) Après le démarrage de Shorewall, de nombreux modules + netfilter inutilisés sont chargés. Comment éviter cela ? + + Réponse: Copiez + /usr/share/shorewall/modules (ou + /usr/share/shorewall/xmodules suivant le cas) vers + /etc/shorewall/modules et modifiez cette copie pour + qu'elle ne contienne que les modules dont vous avez besoin. +
+ +
+ (FAQ 61) Je viens juste d'installer le nouveau kernel Debian, et + maintenant "shorewall start" échoue avec le message "ipt_policy: + matchsize 116 != 308". Qu'est-ce qui ne va pas? + + Réponse: Votre version d'iptables + est incompatible avec votre kernel. + + + + recompilez iptables en utilisant les headers de votre nouveau + kernel; ou bien + + + + si vous n'avez pas besoin du support de "policy match" (vous + n'utilisez pas l'implémentation IPSEC du kernel 2.6) vous pouvez + renommer /lib/iptables/libipt_policy.so. + + +
+
+ +
+ Multiples FAIs + +
+ (FAQ 57) J'ai configuré deux FAIs dans Shorewall mais quand + j'essaye d'utiliser le second, cela ne fonctionne pas. + + Réponse: La documentation + Multi-ISP vous recommande très fortement d'utiliser l'option + d'équilibrage (balance) pour tous les + FAIs même si vous voulez spécifier manuellement quel FAI utiliser. Si + vous ne le faites pas et que votre table principale de routage n'a + qu'une seule route par défaut, vous devez désactiver le filtrage de + route. Ne spécifiez pas l'option routefilter sur l'autre interface dans + /etc/shorewall/interfaces et désactivez toute + protections contre le spoofing d'adresses IP que + votre distribution pourrait offrir. +
+ +
+ (FAQ 58) Mais si je spécifie 'balance' est-ce que shorewall ne va + pas équilibrer le trafic entre les interfaces ? Je ne veux pas qu'il le + fasse ! + + Réponse: Supposez que vous + vouliez que tout le trafic passe par le FAI1 (mark 1) jusqu'à ce que + vous spécifiez différemment. Dans ce cas, ajoutez simplement ces deux + règles comme premières règles de marquage dans votre fichier + /etc/shorewall/tcrules: + + #MARK SOURCE DEST +1:P 0.0.0.0/0 +1:P $FW +<other MARK rules> + + Maintenant, tout le trafic qui n'est pas marqué par une de vos + autres règles de marquage aura mark=1 et sera envoyé par le FAI1. Ceci + fonctionnera que l'option balance soit + spécifiée ou pas. +
Au sujet de Shorewall
- (FAQ 10) Sur quelles distributions tourne-t-il? + (FAQ 10) Sur quelles distributions Shorewall tourne-t-il? - Shorewall fonctionnera sur n'importe quelle distribution GNU/Linux - distribution réunissant les pré-requis Shorewall indiqués - dans ce document. + Réponse: Shorewall fonctionnera + sur n'importe quelle distribution GNU/Linux distribution réunissant les + pré-requis Shorewall + indiqués dans ce document.
- (FAQ 11) Quelles sont ses caractéristiques? + (FAQ 11) Quelles sont les caractéristiques de Shorewall ? - Réponse: voir la Réponse: voir la liste des caractéristiques de Shorewall.
@@ -1646,7 +1858,7 @@ iptables: Invalid argument (FAQ 12) Existe-t-il une interface graphique? Réponse: Oui. Webmin offre le - support de Shorewall à partir de la version 1.060. Voir http://www.webmin.com
@@ -1667,20 +1879,22 @@ iptables: Invalid argument (FAQ 23) Pourquoi utilisez-vous des polices de caractères aussi affreuses sur votre site web? - Le site web de Shorewall est presque entièrement neutre en ce qui - concerne les polices (à l'exception de quelques pages il ne spécifie - explicitement aucune police). Les polices que vous voyez sont largement - celles configurées par défaut dans votre navigateur. Si vous ne les - aimez pas reconfigurez votre navigateur. + Réponse: Le site web de Shorewall + est presque entièrement neutre en ce qui concerne les polices (à + l'exception de quelques pages il ne spécifie explicitement aucune + police). Les polices que vous voyez sont largement celles configurées + par défaut dans votre navigateur. Si vous ne les aimez pas reconfigurez + votre navigateur.
- (FAQ 25) Comment savoir quelle version de Shorewall - j'utilise? + (FAQ 25) Comment savoir quelle version de Shorewall ou de + Shorewall Lite j'utilise? - A l'invite du système, tapez: + Réponse: A l'invite du système, + tapez: - /sbin/shorewall version + /sbin/shorewall[-lite] version
@@ -1693,7 +1907,7 @@ iptables: Invalid argument servant d'adresses IP du réseau local comme adresse source? - Réponse: Oui. + Réponse: Oui. @@ -1702,10 +1916,10 @@ iptables: Invalid argument recouvrent ? - Réponse: Ceci est de la responsabilité de la pile IP, ce - n'est pas celle d'un firewall basé sur Netfilter car le - ré-assemblage des fragments est fait avant que le filtre de - paquets ne voie chaque paquet. + Réponse: Ceci est de la + responsabilité de la pile IP, ce n'est pas celle d'un firewall + basé sur Netfilter car le ré-assemblage des fragments est fait + avant que le filtre de paquets ne voie chaque paquet. @@ -1715,11 +1929,12 @@ iptables: Invalid argument LAN? - Réponse: On peut configurer Shorewall pour le faire avec sa - fonction de liste noire - (blacklist). A partir de la version 2.0.0, Shorewall - filtre ces paquets avec l'option d'interface - nosmurfs dans le fichier Réponse: On peut configurer + Shorewall pour le faire avec sa fonction de liste noire (blacklist). A + partir de la version 2.0.0, Shorewall filtre ces paquets avec + l'option d'interface nosmurfs dans le + fichier /etc/shorewall/interfaces. @@ -1729,8 +1944,8 @@ iptables: Invalid argument comme source et comme destination? - Réponse: Oui lorsque l'option d'interface + Réponse: Oui lorsque + l'option d'interface routefilter est sélectionnée. @@ -1740,12 +1955,12 @@ iptables: Invalid argument hôte - Réponse: Shorewall offre la possibilité de limiter les - paquets SYN les paquets ICMP. Netfilter tel qu'il est inclus dans - les noyaux Linux standard ne supporte pas la mise en oeuvre de - limitations par hôte distant sauf en utilisant une règle explicite - qui spécifie l'adresse IP de l'hôte. Cette forme de limitation est - supportée par Shorewall. + Réponse: Shorewall offre la + possibilité de limiter les paquets SYN les paquets ICMP. Netfilter + tel qu'il est inclus dans les noyaux Linux standard ne supporte + pas la mise en oeuvre de limitations par hôte distant sauf en + utilisant une règle explicite qui spécifie l'adresse IP de l'hôte. + Cette forme de limitation est supportée par Shorewall. @@ -1755,15 +1970,15 @@ iptables: Invalid argument (FAQ 36) Est-ce que Shorewall tourne sur le noyau Linux 2.6? - Shorewall fonctionne avec les noyaux 2.6 avec les deux - restrictions suivantes: + Réponse: Shorewall fonctionne + avec les noyaux 2.6 avec les deux restrictions suivantes: - Dans les noyaux 2.6 Netfilter/iptables n'offre pas un support - complet d'IPSEC -- il existe des patch pour le noyau et pour - iptables. Vous trouverez des détails à la page Shorewall IPSEC-2.6. + Dans les noyaux 2.6 jusqu'au 2.6.16, Netfilter/iptables + n'offre pas un support complet d'IPSEC -- il existe des patch pour + le noyau et pour iptables. Vous trouverez des détails à la page + Shorewall IPSEC-2.6. @@ -1792,15 +2007,8 @@ iptables: Invalid argument destination de 192.168.100.1, adresse de mon modem, tout en continuant à filtrer les autres adresses rfc1918? - Réponse: Si vous utilisez une - version de Shorewall antérieure à la 1.3.1, créez un fichier - /etc/shorewall/start et mettez-y la commande - suivante: - - run_iptables -I rfc1918 -s 192.168.100.1 -j ACCEPT - - Si vous utilisez la version 1.3.1 ou une version plus récente, - ajoutez ce qui suit dans le fichier Réponse: Ajoutez ce qui suit dans + le fichier /etc/shorewall/rfc1918 (Remarque: Si vous utilisez 2.0.0 ou une version ultérieure, il est possible que ayez à préalablement à copier le fichier @@ -1833,9 +2041,10 @@ iptables: Invalid argument filtrage RFC 1918 sur mon interface externe, mon client DHCP ne peut plus renouveler son bail. - La solution est la même que dans la FAQ - 14 présentée au-dessus. Substituez-y simplement l'adresse du - serveur DHCP de votre FAI. + Réponse: La solution est la + même que dans la FAQ 14 présentée + au-dessus. Substituez-y simplement l'adresse du serveur DHCP de votre + FAI.
@@ -1898,7 +2107,7 @@ eth0 eth1 # eth1 = interface to local netwo A titre d'exemple lorsque le modem cable/ADSL est ponté (bridge), vous pouvez aller voir ma configuration. Dans ce cas, je + url="XenMyWay.html">ma configuration. Dans ce cas, je masquerade en utilisant l'adresse IP de mon interface locale!
@@ -1920,27 +2129,140 @@ eth0 eth1 # eth1 = interface to local netwo
- Divers + Shorewall Lite -
- (FAQ 19) J'ai ajouté des entrées au fichier - /etc/shorewall/tcrules mais elles semblent n'avoir aucun effet. - Pourquoi? +
+ (FAQ 53) Qu'est-ce que Shorewall Lite? - Vous n'avez probablement pas mis TC_ENABLED=Yes dans le fichier - /etc/shorewall/shorewall.conf et de ce fait le - contenu du fichier tcrules est tout simplement ignoré. + Réponse: Shorewall Lite est un + produit partenaire de Shorewall. Il est conçu pour vous permettre de + maintenir les informations de toutes vos configurations de Shorewall sur + un seul système dans votre réseau. Pour plus de détails, voir Compiled Firewall script + documentation.
+
+ (FAQ 54) Si je veux installer Shorewall Lite, est-ce que je dois + aussi installer Shorewall sur le même système ? + + Réponse: Non. En fait, nous + recommandons que vous n'installiez pas Shorewall sur les systèmes sur + lesquels vous souhaitez utiliser Shorewall Lite. Vous devez avoir + installé Shorewall sur au moins un des systèmes de votre réseau pour + pouvoir utiliser Shorewall Lite. +
+ +
+ (FAQ 55) Comment décider quel produit utiliser - Shorewall ou + Shorewall Lite? + + Réponse: Si vous prévoyez d'avoir + un seul firewall, Shorewall est le choix logique. Je pense aussi que + Shorewall est le choix le plus approprié pour un portable car vous + pouvez avoir à changer sa configuration lorsque vous êtes en + déplacement. Dans tous les autres cas, Shorewall Lite fonctionnera très + bien. A shorewall.net, les deux portables ainsi que mon ordinateur de + bureau linux sont installés avec la version complète de Shorewall. Tous + les autres systèmes Linux qui ont un firewall utilisent Shorewall Lite + et leurs répertoires de configuration sont sur mon ordinateur de + bureau. +
+ +
+ (FAQ 60) Quelles restrictions de compatibilité existent entre + Shorewall et Shorewall Lite + + Réponse: Voir le tableau + ci-dessous (C = Complètement compatible avec toutes les fonctionnalités + disponibles, P1 = Compatible mais la totalité des fonctions de Shorewall + ne sont pas disponibles, P2 = Compatible mais la totalité des fonctions + de Shorewall Lite ne sont pas disponibles, I = incompatible). + + + + + + + + + + Shorewall Lite 3.2.0 + + Shorewall Lite 3.2.1 + + Shorewall Lite 3.2.2 + + Shorewall Lite 3.2.3 + + + + + + Shorewall 3.2.0 + + C + + C + + P2 + + P2 + + + + Shorewall 3.2.1 + + C + + C + + C + + P2 + + + + Shorewall 3.2.2 + + P1 + + P1 + + C + + C + + + + Shorewall 3.2.3 + + P1 + + P1 + + C + + C + + + + +
+
+ +
+ Divers +
(FAQ 20) Je viens d'installer un serveur. Dois-je modifier Shorewall pour autoriser les accès internet à mon serveur? - Oui. Consultez le guides de démarrage rapide - que vous avez utilisé pour votre configuration initiale afin d'avoir des - informations nécessaires à l'écriture des règles pour votre - serveur. + Réponse : Oui. Consultez le + guides de démarrage + rapide que vous avez utilisé pour votre configuration initiale + afin d'avoir des informations nécessaires à l'écriture des règles pour + votre serveur.
@@ -1948,9 +2270,10 @@ eth0 eth1 # eth1 = interface to local netwo port ssh, par exemple, mais seulement depuis certaines adresses IP spécifiques? - Dans la colonne SOURCE de la règle, faites suivre - net de : puis d'une liste séparée par des - virgules d'adresses de machines ou de sous-réseaux + Réponse : Dans la colonne SOURCE + de la règle, faites suivre net de : puis + d'une liste séparée par des virgules d'adresses de machines ou de + sous-réseaux net:<ip1>,<ip2>,... @@ -1967,22 +2290,23 @@ eth0 eth1 # eth1 = interface to local netwo machine derrière le firewall, j'obtiens une erreur operation not permitted. Comment utiliser nmap avec Shorewall?" - Retirez temporairement les règles rejNotSyn, dropNotSyn and - dropInvalid du fichier /etc/shorewall/rules et - relancez Shorewall. + Réponse : Retirez temporairement + les règles rejNotSyn, dropNotSyn and dropInvalid du fichier + /etc/shorewall/rules et relancez Shorewall.
(FAQ 27) Je compile un nouveau noyau (kernel) pour mon firewall. A quoi devrais-je faire attention? - Commencez par regarder la page de configuration du noyau pour Shorewall. Vous - souhaiterez sans doute vous assurer que vous avez bien sélectionné - NAT of local connections (READ - HELP) dans le menu de configuration de Netfilter. - Sans cela, les règles DNAT ayant votre firewall comme zone source ne - fonctionneraient pas avec votre nouveau noyau. + Réponse : Commencez par regarder + la page de configuration du noyau pour + Shorewall. Vous souhaiterez sans doute vous assurer que vous + avez bien sélectionné NAT of local + connections (READ HELP) dans le menu de + configuration de Netfilter. Sans cela, les règles DNAT ayant votre + firewall comme zone source ne fonctionneraient pas avec votre nouveau + noyau.
(FAQ 27a) Je viens de compiler (ou j'ai téléchargé ou récupéré @@ -2019,8 +2343,9 @@ iptables: Invalid argument <title>(FAQ 28) Comment utiliser Shorewall en pont filtrant (Bridging Firewall)? - Le support Shorewall pour les ponts filtrant existe — voir ici pour les détails. + Réponse : Le support Shorewall + pour les ponts filtrant existe — voir + ici pour les détails.
@@ -2071,9 +2396,9 @@ REJECT fw net:216.239.39.99 allSachant que FTP nécessitent que le firewall examine et éventuellement modifie les données (payload) du paquet, analyser les données de paquets individuellement ne fonctionne pas toujours car le - flux de données de niveau applicatif peut être fractionné de manière + flux de données de niveau application peut être fractionné de manière arbitraire entre les paquets. Ceci est une des faiblesses de l'extension - 'string match' de Netfilter que l'on trouve dans le Patch-O-Matic. Le + 'string match' de Netfilter que l'on trouve dans le Patch-O-Matic-ng. Le seul moyen sûr pour filtrer sur le contenu des paquets est d'utiliser un proxy pour les connexions concernées -- dans le cas de HTTP, on pourra utiliser une application telle que Sachant que
- (FAQ 42) Comment connaitre quelles sont les fonctions supportées + <title>(FAQ 42) Comment connaître quelles sont les fonctions supportées par mon noyau et ma version d'iptables? Réponse: En tant que root, - utilisez la commande shorewall show + utilisez la commande shorewall[-lite] show capabilities. gateway:~# shorewall show capabilities @@ -2115,5 +2440,22 @@ Shorewall has detected the following iptables/netfilter capabilities: Raw Table: Available gateway:~#
+ +
+ (FAQ 19) Comment ouvrir le firewall pour tout le trafic de/vers + le LAN? + + Réponse : Ajoutez ces deux + politiques: + + #SOURCE DESTINATION POLICY LOG LIMIT:BURST +# LEVEL +$FW loc ACCEPT +loc $FW ACCEPT + + Vous pouvez également supprimer toutes les règles ACCEPT de + $FW->loc et loc->$FW car ces règles sont maintenant redondantes + avec les deux politiques fixées ci-dessus. +
\ No newline at end of file diff --git a/docs-fr/standalone_fr.xml b/docs-fr/standalone_fr.xml index bcae2f4ee..e6f0111f6 100644 --- a/docs-fr/standalone_fr.xml +++ b/docs-fr/standalone_fr.xml @@ -469,7 +469,7 @@ all all REJECT info class="directory">/etc/shorewall/interfaces.
-
+
Permettre d'autres connexions Shorewall inclue une collection de macros diff --git a/docs-fr/three-interface_fr.xml b/docs-fr/three-interface_fr.xml index dc6ea8578..686a11467 100644 --- a/docs-fr/three-interface_fr.xml +++ b/docs-fr/three-interface_fr.xml @@ -744,7 +744,7 @@ $FW net ACCEPT
-
+
Transfert de ports (DNAT) Un de nos objectifs est de faire tourner un ou plusieurs serveurs @@ -961,7 +961,7 @@ ACCEPT dmz $FW udp 53 ici.
-
+
Autres Connexions Les fichiers exemples inclus dans l'archive (three-interface) diff --git a/docs-fr/two-interface_fr.xml b/docs-fr/two-interface_fr.xml index 4bc281994..0e5199753 100644 --- a/docs-fr/two-interface_fr.xml +++ b/docs-fr/two-interface_fr.xml @@ -690,7 +690,7 @@ $FW net ACCEPT Ces politiques vont:
-
+
Transfert de ports (DNAT) Un de vos objectifs est peut-être de faire tourner un ou plusieurs @@ -849,7 +849,7 @@ DNS/ACCEPT loc $FW
-
+
Autres Connexions Les fichiers exemples inclus dans l'archive pour le firewall à deux