2005-12-19 19:38:16 +01:00
<?xml version="1.0" encoding="ISO-8859-15"?>
2004-02-14 19:06:39 +01:00
< !DOCTYPE article PUBLIC "-//OASIS//DTD DocBook XML V4.2//EN"
"http://www.oasis-open.org/docbook/xml/4.2/docbookx.dtd">
2006-02-26 18:19:21 +01:00
<article id= "three-interface_fr" lang= "fr" >
2004-05-09 00:31:54 +02:00
<!-- $Id$ -->
2004-02-14 19:06:39 +01:00
<articleinfo >
2005-12-19 19:38:16 +01:00
<title > Firewall <20> trois interfaces</title>
2004-02-14 19:06:39 +01:00
2006-02-26 18:19:21 +01:00
<subtitle > Version Fran<61> aise de <foreignphrase lang= "en" > <ulink
2019-03-25 19:11:51 +01:00
url="http://www.shorewall.org/three-interface.htm">Three-Interface
2006-02-26 18:19:21 +01:00
Firewall</ulink> </foreignphrase> </subtitle>
2004-02-14 19:06:39 +01:00
<authorgroup >
<author >
<firstname > Tom</firstname>
<surname > Eastep</surname>
</author>
2004-05-09 00:31:54 +02:00
2006-02-26 18:19:21 +01:00
<othercredit role= "translator" >
2004-05-09 00:31:54 +02:00
<firstname > Patrice</firstname>
<surname > Vetsel</surname>
2006-02-26 18:19:21 +01:00
<contrib > Traduction fran<61> aise initiale</contrib>
</othercredit>
<othercredit role= "translator" >
2004-05-09 00:31:54 +02:00
<firstname > Fabien</firstname>
<surname > Demassieux</surname>
2005-12-03 14:28:10 +01:00
2006-02-26 18:19:21 +01:00
<contrib > Adaptation fran<61> aise version 2.0</contrib>
</othercredit>
<othercredit role= "translator" >
2005-12-03 14:28:10 +01:00
<firstname > Guy</firstname>
<surname > Marcenac</surname>
2006-02-26 18:19:21 +01:00
<contrib > Adaptation fran<61> aise version 3.0</contrib>
</othercredit>
2004-02-14 19:06:39 +01:00
</authorgroup>
2006-07-07 03:11:19 +02:00
<pubdate > <?dbtimestamp format="Y/m/d"?> </pubdate>
2004-02-14 19:06:39 +01:00
<copyright >
2006-02-26 18:19:21 +01:00
<year > 2002-2006</year>
2004-02-14 19:06:39 +01:00
<holder > Thomas M. Eastep</holder>
2005-01-22 16:18:06 +01:00
<holder > Patrice Vetsel</holder>
<holder > Fabien Demassieux</holder>
2005-12-03 14:28:10 +01:00
<holder > Guy Marcenac</holder>
2004-02-14 19:06:39 +01:00
</copyright>
<legalnotice >
2005-12-19 19:38:16 +01:00
<para > Permission est accord<72> e de copier, distribuer et/ou modifier ce
document selon les termes de la Licence de Documentation Libre GNU (GNU
Free Documentation License), version 1.2 ou toute version ult<6C> rieure
publi<6C> e par la Free Software Foundation ; sans section Invariables, sans
premi<6D> re de Couverture, et sans texte de quatri<72> me de couverture. Une
copie de la pr<70> sente Licence est incluse dans la section intitul<75> e. Une
traduction fran<61> aise de la licence se trouve dans la section
2006-04-26 17:48:46 +02:00
<quote > <ulink url= "http://cesarx.free.fr/gfdlf.html" > Licence de
2005-12-19 19:38:16 +01:00
Documentation Libre GNU</ulink> </quote> . Ce paragraphe est une
traduction fran<61> aise pour aider <20> votre compr<70> hension. Seul le texte
original en anglais pr<70> sent<6E> ci-dessous fixe les conditions
d'utilisation de cette documentation.</para>
2004-02-14 19:06:39 +01:00
<para > Permission is granted to copy, distribute and/or modify this
document under the terms of the GNU Free Documentation License, Version
1.2 or any later version published by the Free Software Foundation; with
no Invariant Sections, with no Front-Cover, and with no Back-Cover
2004-05-09 00:31:54 +02:00
Texts. A copy of the license is included in the section entitled
2005-01-22 16:18:06 +01:00
<quote > <ulink url= "GnuCopyright.htm" > GNU Free Documentation
License</ulink> </quote> .</para>
2004-02-14 19:06:39 +01:00
</legalnotice>
</articleinfo>
<note >
2004-05-09 00:31:54 +02:00
<para > <emphasis role= "underline" > Notes du traducteur :</emphasis> Le guide
2005-12-19 19:38:16 +01:00
initial a <20> t<EFBFBD> traduit par <ulink
url="mailto:vetsel.patrice@wanadoo.fr">VETSEL Patrice</ulink> et la
r<> vision pour la version 2 de Shorewall a <20> t<EFBFBD> effectu<74> e par <ulink
url="mailto:fd03x@wanadoo.fr">Fabien Demassieux</ulink> . J'ai assur<75> la
r<> vision pour l'adapter <20> la version 3 de Shorewall. Si vous trouvez des
2006-02-26 18:19:21 +01:00
erreurs ou des am<61> liorations <20> y apporter vous pouvez <ulink
url="mailto:guy@posteurs.com">me contacter</ulink> .</para>
2004-02-14 19:06:39 +01:00
</note>
2005-12-03 14:28:10 +01:00
<caution >
2005-12-19 19:38:16 +01:00
<para > <emphasis role= "bold" > Cet article s'applique <20> Shorewall 3.0 et <20>
ses versions ult<6C> rieures. Si vous utilisez une version plus ancienne de
Shorewall, r<> f<EFBFBD> rez-vous <20> la documentation s'appliquant <20> votre
2005-12-03 14:28:10 +01:00
version</emphasis> .</para>
</caution>
2004-05-09 00:31:54 +02:00
<section >
2004-02-14 19:06:39 +01:00
<title > Introduction</title>
2005-12-19 19:38:16 +01:00
<para > Mettre en place un syst<73> me Linux en tant que firewall pour un petit
r<> seau contenant une <acronym > DMZ</acronym> est une chose assez simple, si
vous comprenez les bases et que vous suivez la documentation.</para>
2004-05-09 00:31:54 +02:00
2005-12-19 19:38:16 +01:00
<para > Ce guide ne pr<70> tend pas vous apprendre tous les rouages de
Shorewall. Il se concentre sur ce qui est n<> cessaire pour configurer
Shorewall dans son utilisation la plus courante:</para>
2004-02-14 19:06:39 +01:00
<itemizedlist >
<listitem >
2005-12-19 19:38:16 +01:00
<para > Un syst<73> me Linux utilis<69> en tant que firewall/routeur pour un
petit r<> seau local.</para>
2004-02-14 19:06:39 +01:00
</listitem>
<listitem >
<para > Une seule adresse IP publique.</para>
2004-05-09 00:31:54 +02:00
<note >
2005-01-22 16:18:06 +01:00
<para > Si vous avez plus d'une adresse IP, ce n'est pas le guide qui
2005-12-19 19:38:16 +01:00
vous convient -- regardez plut<75> t du cot<6F> du <ulink
2005-01-22 16:18:06 +01:00
url="shorewall_setup_guide_fr.htm">Guide de Configuration
Shorewall</ulink> .</para>
2004-05-09 00:31:54 +02:00
</note>
2004-02-14 19:06:39 +01:00
</listitem>
<listitem >
2006-02-26 18:19:21 +01:00
<para > Une DMZ connect<63> e sur une interface ethernet s<> par<61> e. L'objet
2005-12-19 19:38:16 +01:00
d'une <acronym > DMZ</acronym> est d'isoler les syst<73> mes de votre r<> seau
local de vos serveurs qui sont expos<6F> s sur internet, de telle mani<6E> re
que, si un de ces serveurs <20> tait compromis, il reste encore un
firewall entre le syst<73> me compromis et vos syst<73> mes locaux.</para>
2004-02-14 19:06:39 +01:00
</listitem>
<listitem >
2005-12-19 19:38:16 +01:00
<para > Une connexion internet par le biais d'un modem c<> ble,
<acronym > ADSL</acronym> , <acronym > ISDN-RNIS</acronym> , "Frame Relay",
<acronym > RTC</acronym> ...</para>
2004-02-14 19:06:39 +01:00
</listitem>
</itemizedlist>
2005-12-19 19:38:16 +01:00
<para > Voici le sch<63> ma d'une installation typique.</para>
2004-05-09 00:31:54 +02:00
<figure >
2005-12-19 19:38:16 +01:00
<title > Sch<EFBFBD> ma d'une installation typique</title>
2004-05-09 00:31:54 +02:00
<mediaobject >
<imageobject >
<imagedata align= "center" fileref= "images/dmz1.png" format= "PNG" />
</imageobject>
</mediaobject>
</figure>
<section >
2005-12-19 19:38:16 +01:00
<title > Pr<EFBFBD> -requis Syst<73> me</title>
2004-05-09 00:31:54 +02:00
2005-12-19 19:38:16 +01:00
<para > Shorewall a besoin que le paquetage
<command > <command > iproute</command> </command> /<command > <command > iproute2</command> </command>
soit install<6C> (avec la distribution <trademark > RedHat</trademark> , le
paquetage s'appelle <command > <command > iproute</command> </command> ). Vous
pouvez contr<74> ler que le package est install<6C> en v<> rifiant la pr<70> sence du
programme <command > <command > ip</command> </command> sur votre firewall.
En tant que <systemitem class= "username" > root</systemitem> , vous pouvez
utiliser la commande <command > which</command> pour cela:</para>
2004-05-09 00:31:54 +02:00
<programlisting > [root@gateway root]# <command > which ip</command>
/sbin/ip
[root@gateway root]#</programlisting>
</section>
<section >
<title > Avant de commencer</title>
2005-12-19 19:38:16 +01:00
<para > Je vous recommande de commencer par une lecture compl<70> te du guide
afin de vous familiariser avec les concepts mis en oeuvre, puis de
recommencer la lecture et seulement alors d'appliquer vos modifications
de configuration.</para>
2004-05-09 00:31:54 +02:00
<caution >
2005-12-19 19:38:16 +01:00
<para > Si vous <20> ditez vos fichiers de configuration sur un syst<73> me
<trademark > Windows</trademark> , vous devez les enregistrer comme des
fichiers <trademark > Unix</trademark> si votre <20> diteur supporte cette
2004-05-09 00:31:54 +02:00
option sinon vous devez les convertir avec <command > dos2unix</command>
2005-12-19 19:38:16 +01:00
avant d'essayer de les utiliser. De la m<> me mani<6E> re, si vous copiez un
2005-01-22 16:18:06 +01:00
fichier de configuration depuis votre disque dur
2004-05-09 00:31:54 +02:00
<trademark > Windows</trademark> vers une disquette, vous devez lancer
2005-01-22 16:18:06 +01:00
<command > dos2unix</command> sur la copie avant de l'utiliser avec
2005-12-03 14:28:10 +01:00
Shorewall.</para>
<simplelist >
<member > <ulink url= "http://www.simtel.net/pub/pd/51438.html" > Version
Windows de dos2unix</ulink> </member>
<member > <ulink
url="http://www.megaloman.com/~hany/software/hd2u/">Version Linux de
dos2unix</ulink> </member>
</simplelist>
2004-05-09 00:31:54 +02:00
</caution>
</section>
<section >
<title > Conventions</title>
2005-12-19 19:38:16 +01:00
<para > Les points o<> des modifications s'imposent sont indiqu<71> s par
2004-05-09 00:31:54 +02:00
<inlinegraphic fileref= "images/BD21298_.gif" format= "GIF" /> .</para>
2005-12-19 19:38:16 +01:00
<para > Les notes de configuration qui sont propres <20> LEAF/Bering sont
marqu<71> es avec <inlinegraphic fileref= "images/leaflogo.gif"
2005-01-22 16:18:06 +01:00
format="GIF" />.</para>
2004-05-09 00:31:54 +02:00
</section>
</section>
2004-02-14 19:06:39 +01:00
2004-05-09 00:31:54 +02:00
<section >
<title > PPTP/ADSL</title>
2004-02-14 19:06:39 +01:00
2004-05-09 00:31:54 +02:00
<para > <inlinegraphic fileref= "images/BD21298_.gif" format= "GIF" /> </para>
2004-02-14 19:06:39 +01:00
2005-12-19 19:38:16 +01:00
<para > Si vous <20> tes <20> quip<69> d'un modem
<acronym > <acronym > ADSL</acronym> </acronym> et que vous utilisez
<acronym > PPTP</acronym> pour communiquer avec un serveur <20> travers ce
modem, vous devez faire les changements <ulink
url="PPTP.htm#PPTP_ADSL">suivants</ulink> en plus de ceux d<> crits
ci-dessous. <acronym > <acronym > ADSL</acronym> </acronym> avec
<acronym > <acronym > PPTP</acronym> </acronym> est r<> pandu en Europe,
notamment en Autriche.</para>
2004-02-14 19:06:39 +01:00
</section>
<section >
<title > Les Concepts de Shorewall</title>
2005-12-19 19:38:16 +01:00
<para > Les fichiers de configuration pour Shorewall sont situ<74> s dans le
r<> pertoire /etc/shorewall -- pour de simples param<61> trages, vous n'aurez <20>
faire qu'avec quelques-uns d'entre eux comme d<> crit dans ce guide.</para>
2004-02-14 19:06:39 +01:00
2005-12-03 14:28:10 +01:00
<warning >
2006-11-28 22:38:26 +01:00
<para > <emphasis role= "bold" > Note aux utilisateurs de Debian et de
Ubuntu</emphasis> </para>
2005-12-03 14:28:10 +01:00
<para > Si vous vous servez du .deb pour installer, vous vous rendrez
2005-12-19 19:38:16 +01:00
compte que votre r<> pertoire <filename
2005-12-03 14:28:10 +01:00
class="directory">/etc/shorewall</filename> est vide. Ceci est voulu.
Les squelettes des fichiers de configuration se trouvent sur votre
2005-12-19 19:38:16 +01:00
syst<73> me dans le r<> pertoire <filename
2005-12-03 14:28:10 +01:00
class="directory">/usr/share/doc/shorewall/default-config</filename> .
Copiez simplement les fichiers dont vous avez besoin depuis ce
2005-12-19 19:38:16 +01:00
r<> pertoire dans <filename class= "directory" > /etc/shorewall</filename> ,
2005-12-03 14:28:10 +01:00
puis modifiez ces copies.</para>
2005-12-19 19:38:16 +01:00
<para > Remarquez que vous devez copier<filename >
2005-12-03 14:28:10 +01:00
/usr/share/doc/shorewall/default-config/shorewall.conf</filename> et
<filename > /usr/share/doc/shorewall/default-config/modules</filename>
dans <filename
2005-12-19 19:38:16 +01:00
class="directory"><filename > /etc/shorewall</filename> </filename> m<> me si
2005-12-03 14:28:10 +01:00
vous ne modifiez pas ces fichiers.</para>
</warning>
2004-02-14 19:06:39 +01:00
2005-12-03 14:28:10 +01:00
<para > <inlinegraphic fileref= "images/BD21298_.gif" format= "GIF" /> </para>
2004-02-14 19:06:39 +01:00
2005-12-19 19:38:16 +01:00
<para > Apr<EFBFBD> s avoir install<6C> Shorewall, vous pourrez trouver les exemples de
la mani<6E> re suivante:<orderedlist >
2005-12-03 14:28:10 +01:00
<listitem >
2005-12-19 19:38:16 +01:00
<para > Si vous avez install<6C> en utilisant un <acronym > RPM</acronym> ,
les exemples seront dans le sous-r<> pertoire <filename
class="directory">Samples/three-interfaces/</filename> du r<> pertoire
de la documentation de Shorewall. Si vous ne savez pas o<> se trouve
le r<> pertoire de la documentation de Shorewall, vous pouvez trouver
2005-12-03 14:28:10 +01:00
les exemples en utilisant cette commande:</para>
<programlisting > ~# rpm -ql shorewall | fgrep three-interfaces
/usr/share/doc/packages/shorewall/Samples/three-interfaces
/usr/share/doc/packages/shorewall/Samples/three-interfaces/interfaces
/usr/share/doc/packages/shorewall/Samples/three-interfaces/masq
/usr/share/doc/packages/shorewall/Samples/three-interfaces/policy
/usr/share/doc/packages/shorewall/Samples/three-interfaces/routestopped
/usr/share/doc/packages/shorewall/Samples/three-interfaces/rules
/usr/share/doc/packages/shorewall/Samples/three-interfaces/zones
~#</programlisting>
</listitem>
2004-02-14 19:06:39 +01:00
2005-12-03 14:28:10 +01:00
<listitem >
2005-12-19 19:38:16 +01:00
<para > Si vous avez install<6C> depuis le tarball, les exemples sont
dans le r<> pertoire <filename > Samples/three-interfaces</filename> du
2005-12-03 14:28:10 +01:00
tarball.</para>
</listitem>
2004-02-14 19:06:39 +01:00
2005-12-03 14:28:10 +01:00
<listitem >
2005-12-19 19:38:16 +01:00
<para > Si vous avez install<6C> en utilisant un .deb, les exemples sont
2005-12-03 14:28:10 +01:00
dans
<filename > /usr/share/doc/shorewall/examples/three-interfaces</filename> .</para>
</listitem>
</orderedlist> </para>
2004-02-14 19:06:39 +01:00
2005-12-19 19:38:16 +01:00
<para > Au fur et <20> mesure de la pr<70> sentation de chaque fichier, je vous
sugg<67> re de jeter un oeil <20> ceux physiquement pr<70> sents sur votre syst<73> me --
chacun des fichiers contient des instructions de configuration d<> taill<6C> es
et des entr<74> es par d<> faut.</para>
2004-02-14 19:06:39 +01:00
2005-12-19 19:38:16 +01:00
<para > Shorewall voit le r<> seau o<> il fonctionne, comme <20> tant compos<6F> d'un
2005-12-03 14:28:10 +01:00
ensemble de zones. Dans une configuration avec trois interfaces, les noms
2005-12-19 19:38:16 +01:00
des zones suivants sont utilis<69> s:</para>
2005-12-03 14:28:10 +01:00
<programlisting > #ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4
loc ipv4
dmz ipv4</programlisting>
2004-02-14 19:06:39 +01:00
2005-12-19 19:38:16 +01:00
<para > Les zones de Shorewall sont d<> finies dans le fichier <ulink
2005-01-22 16:18:06 +01:00
url="Documentation.htm#Zones"><filename
class="directory">/etc/shorewall/</filename> <filename > zones</filename> </ulink> .</para>
2004-02-14 19:06:39 +01:00
2005-12-19 19:38:16 +01:00
<para > Remarquez que Shorewall reconna<6E> t le syst<73> me de firewall comme sa
2005-12-03 14:28:10 +01:00
propre zone. Quand le fichier <filename > /etc/shorewall/zones</filename>
2005-12-19 19:38:16 +01:00
est trait<69> , le nom de la zone firewall est stock<63> dans la variable
d'environnement <emphasis > $FW</emphasis> qui peut <20> tre utilis<69> e depuis
2005-12-03 14:28:10 +01:00
l'ensemble des autres fichiers de configuration de Shorewall, pour faire
2005-12-19 19:38:16 +01:00
r<> f<EFBFBD> rence au firewall lui-m<> me.</para>
2004-05-09 00:31:54 +02:00
2005-12-19 19:38:16 +01:00
<para > Les r<> gles <20> propos du trafic <20> autoriser et <20> interdire sont
exprim<69> es en utilisant le terme de zones.</para>
2004-02-14 19:06:39 +01:00
<itemizedlist >
<listitem >
2005-12-19 19:38:16 +01:00
<para > Vous exprimez votre politique par d<> faut pour les connexions
2005-01-22 16:18:06 +01:00
d'une zone vers une autre zone dans le fichier <ulink
url="Documentation.htm#Policy"><filename
class="directory">/etc/shorewall/</filename> <filename > policy</filename> </ulink> .</para>
2004-02-14 19:06:39 +01:00
</listitem>
<listitem >
2005-12-19 19:38:16 +01:00
<para > Vous d<> finissez les exceptions <20> ces politiques pas d<> faut dans
2004-05-09 00:31:54 +02:00
le fichier <ulink url= "Documentation.htm#Rules" > <filename
class="directory">/etc/shorewall/</filename> <filename > rules</filename> </ulink> .</para>
2004-02-14 19:06:39 +01:00
</listitem>
</itemizedlist>
2005-12-19 19:38:16 +01:00
<para > Pour chaque connexion demandant <20> entrer dans le firewall, la
requ<71> te est en premier lieu v<> rifi<66> e par rapport au contenu du fichier
<filename > /etc/shorewall/rules</filename> . Si aucune r<> gle dans ce fichier
ne correspond <20> la demande de connexion, alors la premi<6D> re politique dans
2005-12-03 14:28:10 +01:00
le fichier <filename > /etc/shorewall/policy</filename> qui y correspond
2005-12-19 19:38:16 +01:00
sera appliqu<71> e. S'il y a une <ulink
url="shorewall_extension_scripts.htm">action commune</ulink> d<> finie pour
2005-12-03 14:28:10 +01:00
cette politique dans <filename > /etc/shorewall/actions</filename> ou dans
<filename > /usr/share/shorewall/actions.std</filename> cette action commune
2006-11-28 22:38:26 +01:00
sera ex<65> cut<75> e avant que la politique ne soit appliqu<71> e. Le but de l'action
commune est double:</para>
<itemizedlist >
<listitem >
<para > Elle ignore (DROP) ou rejete (REJECT) silencieusement le traffic
courant qui n'est pas dangeureux qui sans cela encombrerait votre
fichier journal - les messages de broadcast, par exemple.</para>
</listitem>
<listitem >
<para > Elle garantit que le traffic n<> cessaire <20> un fonctionnement
normal est autoris<69> <20> traverser le firewall — ICMP
<emphasis > fragmentation-needed</emphasis> par exemple</para>
</listitem>
</itemizedlist>
2004-05-09 00:31:54 +02:00
2005-01-22 16:18:06 +01:00
<para > Le fichier /etc/shorewall/policy inclus dans l'archive d'exemple
(three-interface) contient les politiques suivantes:</para>
2004-05-09 00:31:54 +02:00
<programlisting > #SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
loc net ACCEPT
net all DROP info
all all REJECT info</programlisting>
<important >
2005-01-22 16:18:06 +01:00
<para > Dans le fichier d'exemple (three-interface), la ligne suivante est
2005-12-19 19:38:16 +01:00
incluse mais elle est comment<6E> e. Si vous voulez que votre firewall
puisse avoir un acc<63> s complet aux serveurs sur internet, d<> -commentez la
2004-05-09 00:31:54 +02:00
ligne.</para>
<programlisting > #SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
2005-12-03 14:28:10 +01:00
$FW net ACCEPT</programlisting>
2004-05-09 00:31:54 +02:00
</important>
2005-12-19 19:38:16 +01:00
<para > Les politiques pr<70> c<EFBFBD> dentes vont: <itemizedlist >
2005-01-22 16:18:06 +01:00
<listitem >
2005-12-19 19:38:16 +01:00
<para > Autoriser (ACCEPT) toutes les demandes de connexion depuis
votre r<> seau local vers internet</para>
2005-01-22 16:18:06 +01:00
</listitem>
<listitem >
2005-12-19 19:38:16 +01:00
<para > Ignorer (DROP) toutes les demandes de connexion depuis
internet vers votre firewall ou votre r<> seau local</para>
2005-01-22 16:18:06 +01:00
</listitem>
<listitem >
2005-12-19 19:38:16 +01:00
<para > Autoriser (ACCEPT) toutes les demandes de connexion de votre
firewall vers internet (si vous avez d<> -comment<6E> la politique
additionnelle)</para>
2005-01-22 16:18:06 +01:00
</listitem>
<listitem >
2005-12-19 19:38:16 +01:00
<para > Rejeter (REJECT) toutes les autres requ<71> tes de
2005-01-22 16:18:06 +01:00
connexion.</para>
</listitem>
</itemizedlist> </para>
2004-02-14 19:06:39 +01:00
2004-05-09 00:31:54 +02:00
<para > <inlinegraphic fileref= "images/BD21298_.gif" format= "GIF" /> </para>
2004-02-14 19:06:39 +01:00
2005-12-19 19:38:16 +01:00
<para > Maintenant, <20> ditez votre propre fichier <filename > <filename
2004-05-09 00:31:54 +02:00
class="directory">/etc/shorewall/</filename> <filename > policy</filename> </filename>
2005-12-19 19:38:16 +01:00
et faites-y les changements que vous d<> sirez.</para>
2004-02-14 19:06:39 +01:00
</section>
<section >
2005-12-19 19:38:16 +01:00
<title > Les Interfaces R<> seau</title>
2004-02-14 19:06:39 +01:00
2004-05-09 00:31:54 +02:00
<figure >
<title > DMZ</title>
<mediaobject >
<imageobject >
<imagedata align= "center" fileref= "images/dmz1.png" format= "PNG" />
</imageobject>
</mediaobject>
</figure>
2004-02-14 19:06:39 +01:00
2005-12-19 19:38:16 +01:00
<para > Le firewall poss<73> de trois interfaces r<> seau. Lorsque la connexion
internet passe par un <quote > modem</quote> c<> ble ou<acronym > <acronym > ADSL
</acronym> </acronym> <emphasis > <emphasis > l'Interface
2006-02-26 18:19:21 +01:00
Externe</emphasis> </emphasis> sera l'adaptateur ethernet qui est connect<63>
2005-12-19 19:38:16 +01:00
<20> ce <quote > Modem</quote> (par exemple <filename
2005-12-03 14:28:10 +01:00
class="devicefile">eth0</filename> ). Par contre, si vous vous connectez
2005-12-19 19:38:16 +01:00
avec <acronym > PPPoE</acronym> (Point-to-Point Protocol over Ethernet) ou
avec <acronym > <acronym > PPTP</acronym> </acronym> (Point-to-Point Tunneling
Protocol), l'interface externe sera une interface ppp (par exemple
<filename class= "devicefile" > <filename
class="devicefile">ppp0</filename> </filename> ). Si vous vous connectez
avec un simple modem <acronym > <acronym > RTC</acronym> </acronym> , votre
interface externe sera aussi <filename class= "devicefile" > <filename
class="devicefile">ppp0</filename> </filename> . Si vous vous connectez en
utilisant l'<acronym > <acronym > ISDN</acronym> </acronym> , votre interface
externe sera <filename class= "devicefile" > <filename
class="devicefile">ippp0</filename> </filename> .</para>
2004-05-09 00:31:54 +02:00
<para > <inlinegraphic fileref= "images/BD21298_.gif" format= "GIF" /> </para>
2005-12-19 19:38:16 +01:00
<para > <emphasis role= "bold" > Si votre interface vers l'ext<78> rieur est
2005-12-03 14:28:10 +01:00
<filename class= "devicefile" > ppp0</filename> ou <filename
2005-01-22 16:18:06 +01:00
class="devicefile">ippp0</filename> alors vous mettrez CLAMPMSS=yes dans
2005-12-03 14:28:10 +01:00
le fichier
<filename > /etc/shorewall/shorewall.conf</filename> </emphasis> .</para>
2004-05-09 00:31:54 +02:00
<para > Votre <emphasis > Interface locale</emphasis> sera un adaptateur
2006-02-26 18:19:21 +01:00
ethernet (<filename class= "devicefile" > eth0</filename> , <filename
2005-01-22 16:18:06 +01:00
class="devicefile">eth1</filename> or <filename
2005-12-19 19:38:16 +01:00
class="devicefile">eth2</filename> ) et sera connect<63> <20> un hub ou <20> un
switch. Vos ordinateurs locaux seront connect<63> s <20> ce m<> me hub ou switch
(note : si vous n'avez qu'un seul ordinateur en local, vous pouvez le
connecter directement au firewall par un c<> ble crois<69> ).</para>
<para > Votre <emphasis > interface <acronym > DMZ</acronym> </emphasis> sera
2006-02-26 18:19:21 +01:00
aussi un adaptateur ethernet (<filename
2005-12-19 19:38:16 +01:00
class="devicefile">eth0</filename> , <filename
2005-01-22 16:18:06 +01:00
class="devicefile">eth1</filename> or <filename
2005-12-19 19:38:16 +01:00
class="devicefile">eth2</filename> ) et sera connect<63> e <20> un hub ou <20> un
switch. Vos ordinateurs appartenant <20> la <acronym > DMZ</acronym> seront
connect<63> s <20> ce m<> me hub ou switch (note : si vous n'avez qu'un seul
ordinateur dans la <acronym > DMZ</acronym> , vous pouvez le connecter
directement au firewall par un c<> ble crois<69> ).</para>
2004-02-14 19:06:39 +01:00
2005-12-03 14:28:10 +01:00
<warning >
2005-12-19 19:38:16 +01:00
<para > <emphasis role= "bold" > Ne connectez pas les interfaces interne et
externe sur le m<> me hub ou le m<> me switch, sauf <20> des fins de
test</emphasis> . Vous pouvez tester en utilisant ce type de
configuration si vous sp<73> cifiez l'option <emphasis
role="bold">arp_filter</emphasis> ou l'option <emphasis
2005-12-03 14:28:10 +01:00
role="bold">arp_ignore</emphasis> dans le fichier <filename
2005-12-19 19:38:16 +01:00
class="directory">/etc/shorewall/</filename> <filename > interfaces, et
ce</filename> pour toutes les interfaces connect<63> es au hub/switch
commun. <emphasis role= "bold" > Il est tr<74> s fortement d<> conseill<6C>
d'utiliser une telle configuration avec un firewall en
production</emphasis> .</para>
2005-12-03 14:28:10 +01:00
</warning>
2004-02-14 19:06:39 +01:00
2004-05-09 00:31:54 +02:00
<para > <inlinegraphic fileref= "images/BD21298_.gif" format= "GIF" /> </para>
2005-12-19 19:38:16 +01:00
<para > Le fichier de configuration d'exemple pour le firewall <20> trois
interfaces suppose que votre interface externe est <filename
class="devicefile"><filename
class="devicefile">eth0</filename> </filename> , que l'interface locale est
<filename class= "devicefile" > eth1</filename> et que la
<acronym > DMZ</acronym> est sur l'interface <filename
class="devicefile"><filename
class="devicefile">eth2</filename> </filename> . Si votre configuration est
diff<66> rente, vous devrez modifier le fichier<filename >
/etc/shorewall/interfaces</filename> en cons<6E> quence. Tant que vous y <20> tes,
vous pourriez parcourir la liste des options qui sont sp<73> cifi<66> es pour les
interfaces. Quelques astuces:<tip >
<para > Si votre interface vers l'ext<78> rieur est <filename
2005-12-03 14:28:10 +01:00
class="devicefile">ppp0</filename> ou <filename
2005-12-19 19:38:16 +01:00
class="devicefile">ippp0</filename> , vous pouvez remplacer le
<quote > detect</quote> dans la seconde colonne par un <quote > -</quote>
(sans guillemets).</para>
2005-12-03 14:28:10 +01:00
</tip> <tip >
2005-12-19 19:38:16 +01:00
<para > Si votre interface vers l'ext<78> rieur est <filename
2005-12-03 14:28:10 +01:00
class="devicefile">ppp0</filename> or <filename
class="devicefile">ippp0</filename> ou si vous avez une adresse
<acronym > IP</acronym> statique, vous pouvez enlever
2005-12-19 19:38:16 +01:00
<quote > dhcp</quote> dans la liste des options .</para>
2005-12-03 14:28:10 +01:00
</tip> </para>
2004-02-14 19:06:39 +01:00
</section>
<section >
<title > Adresses IP</title>
2005-01-22 16:18:06 +01:00
<para > Avant d'aller plus loin, nous devons dire quelques mots au sujet des
2005-12-19 19:38:16 +01:00
adresses IP. Normalement, votre Fournisseur d' Acc<63> s Internet
(<acronym > FAI</acronym> ) ne vous allouera qu'une seule adresse IP. Cette
adresse peut vous <20> tre allou<6F> e par <acronym > DHCP</acronym> (Dynamic Host
Configuration Protocol), lors de l'<27> tablissement de votre connexion (modem
standard) ou bien lorsque vous <20> tablissez un autre type de connexion
<acronym > PPP</acronym> (<acronym > PPPoA</acronym> ,
<acronym > PPPoE</acronym> , etc.). Dans certains cas , votre fournisseur
peut vous allouer une adresse statique IP. Dans ce cas vous devez
configurer l'interface externe de votre firewall afin d'utiliser cette
adresse de mani<6E> re permanente.</para>
<para > Quelle que soit la fa<66> on dont votre adresse externe vous est
attribu<62> e, elle va <20> tre partag<61> e par tous vos syst<73> mes lors de l'acc<63> s <20>
internet. Vous devrez assigner vos propres adresses au machines de votre
r<> seau local (votre interface interne sur le firewall ainsi que les autres
ordinateurs). La RFC 1918 r<> serve des plages d'adresses IP pour
l'utilisation dans les r<> seau priv<69> s:</para>
2004-05-09 00:31:54 +02:00
<programlisting > 10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255</programlisting>
<para > <inlinegraphic fileref= "images/BD21298_.gif" format= "GIF" /> </para>
2005-12-03 14:28:10 +01:00
<para > Avant de lancer Shorewall, <emphasis role= "bold" > il faut regarder
2005-12-19 19:38:16 +01:00
l'adresse IP de votre interface externe, et, si elle est dans l'une des
plages pr<70> c<EFBFBD> dentes, vous devez enlever l'option "norfc1918" dans la ligne
2005-12-03 14:28:10 +01:00
concernant l'interface externe dans le fichier
<filename > /etc/shorewall/interfaces</filename> </emphasis> .</para>
2005-12-19 19:38:16 +01:00
<para > Vous devrez allouer vos adresses depuis le m<> me sous-r<> seau
(subnet). Pour ce faire, nous pouvons consid<69> rer un sous-r<> seau comme
<20> tant une plage d'adresses <varname > allant de x.y.z.0 <20>
x.y.z.255</varname> . Un tel sous-r<> seau aura un masque (subnet mask)
<systemitem class= "netmask" > de 255.255.255.0</systemitem> . L'adresse
<varname > x.y.z.0</varname> est r<> serv<72> e comme l'adresse de sous-r<> seau
<emphasis > (Subnet Address</emphasis> ) et l'adresse
<varname > x.y.z.255</varname> est r<> serv<72> e en tant qu'adresse de diffusion
(<emphasis > broadcast</emphasis> ). Dans Shorewall, un tel sous-r<> seau est
d<> crit en utilisant <ulink url= "shorewall_setup_guide_fr.htm#Subnets" > la
notation CIDR (Classless InterDomain Routing)</ulink> qui consiste en
l'adresse du sous-r<> seau suivie par<varname > /</varname> 24. Le
<quote > 24</quote> indiquant le nombre cons<6E> cutif de bits <20>
<quote > 1</quote> dans la partie gauche du masque de sous-r<> seau.</para>
2004-02-14 19:06:39 +01:00
<table >
2005-12-19 19:38:16 +01:00
<title > Un exemple de sous-r<> seau (sub-network) :</title>
2004-02-14 19:06:39 +01:00
<tgroup cols= "2" >
2004-05-09 00:31:54 +02:00
<colspec align= "left" />
2004-02-14 19:06:39 +01:00
<tbody >
<row >
2005-12-19 19:38:16 +01:00
<entry > Etendue:</entry>
2004-02-14 19:06:39 +01:00
2004-05-09 00:31:54 +02:00
<entry > <systemitem class= "ipaddress" > 10.10.10.0</systemitem> -
<systemitem class= "ipaddress" > 10.10.10.255</systemitem> </entry>
2004-02-14 19:06:39 +01:00
</row>
<row >
2005-12-19 19:38:16 +01:00
<entry > Adresse de sous-r<> seau:</entry>
2004-02-14 19:06:39 +01:00
2005-01-22 16:18:06 +01:00
<entry > <systemitem
class="ipaddress">10.10.10.0</systemitem> </entry>
2004-02-14 19:06:39 +01:00
</row>
<row >
2005-12-19 19:38:16 +01:00
<entry > Adresse de diffusion:</entry>
2004-02-14 19:06:39 +01:00
2005-01-22 16:18:06 +01:00
<entry > <systemitem
class="ipaddress">10.10.10.255</systemitem> </entry>
2004-02-14 19:06:39 +01:00
</row>
<row >
2005-12-19 19:38:16 +01:00
<entry > Notation CIDR:</entry>
2004-02-14 19:06:39 +01:00
2005-01-22 16:18:06 +01:00
<entry > <systemitem
class="ipaddress">10.10.10.0/24</systemitem> </entry>
2004-02-14 19:06:39 +01:00
</row>
</tbody>
</tgroup>
</table>
2005-12-19 19:38:16 +01:00
<para > La convention veut que l'on affecte <20> l'interface interne du
firewall la premi<6D> re adresse utilisable du sous-r<> seau (<systemitem
class="ipaddress">10.10.10.1</systemitem> dans l'exemple pr<70> c<EFBFBD> dent) ou
bien la derni<6E> re adresse utilisable (<systemitem
2004-05-09 00:31:54 +02:00
class="ipaddress">10.10.10.254</systemitem> ).</para>
2005-12-19 19:38:16 +01:00
<para > L'un des objectifs de la gestion en sous-r<> seaux est de permettre <20>
tous les ordinateurs du sous-r<> seau de savoir avec quels autres
ordinateurs ils peuvent communiquer directement. Pour communiquer avec des
syst<73> mes en dehors du sous-r<> seau auquel ils appartiennent, les
ordinateurs doivent envoyer leurs paquets par l'interm<72> diaire d'une
passerelle (gateway).</para>
2004-02-14 19:06:39 +01:00
2004-05-09 00:31:54 +02:00
<para > <inlinegraphic fileref= "images/BD21298_.gif" format= "GIF" /> </para>
2005-12-19 19:38:16 +01:00
<para > Vos ordinateurs locaux (computer 1 et computer 2 dans le diagramme)
doivent <20> tre configur<75> s avec leur passerelle par d<> faut (default gateway)
pointant sur l'adresse <acronym > IP</acronym> de l'interface interne du
firewall. Les ordinateurs de votre <acronym > DMZ</acronym> (DMZ Computer 1
et DMZ computer 2) devraient <20> tre configur<75> s avec leur passerelle par
d<> faut (default gateway) pointant sur l'adresse <acronym > IP</acronym> de
l'interface <acronym > DMZ</acronym> du firewall.</para>
2004-02-14 19:06:39 +01:00
2005-12-19 19:38:16 +01:00
<para > Cette br<62> ve pr<70> sentation ne fait qu'effleurer la question des
sous-r<> seaux et du routage. Si vous voulez en apprendre plus sur
2005-01-22 16:18:06 +01:00
l'adressage <acronym > IP</acronym> et le routage, je recommande <quote > IP
Fundamentals: What Everyone Needs to Know about Addressing &
2004-05-09 00:31:54 +02:00
Routing</quote> , Thomas A. Maufer, Prentice-Hall, 1999, ISBN 0-13-975483-0
(<ulink
2005-12-19 19:38:16 +01:00
url="http://www.phptr.com/browse/product.asp?product_id={58D4F6D4-54C5-48BA-8EDD-86EBD7A42AF6}">lien</ulink> ).</para>
2004-02-14 19:06:39 +01:00
2005-12-19 19:38:16 +01:00
<para > Le reste de ce guide suppose que vous avez configur<75> votre r<> seau
comme montr<74> ci-dessous :</para>
2004-02-14 19:06:39 +01:00
2004-05-09 00:31:54 +02:00
<figure >
<title > DMZ</title>
2005-12-03 14:28:10 +01:00
<mediaobject >
<imageobject >
<imagedata fileref= "images/dmz2.png" />
</imageobject>
2004-05-09 00:31:54 +02:00
2005-12-03 14:28:10 +01:00
<caption >
2005-12-19 19:38:16 +01:00
<para > La passerelle par d<> faut pour la DMZ sera <systemitem
2005-12-03 14:28:10 +01:00
class="ipaddress">10.10.11.254</systemitem> et la passerelle par
2005-12-19 19:38:16 +01:00
d<> faut pour les ordinateurs locaux sera <systemitem
2005-12-03 14:28:10 +01:00
class="ipaddress">10.10.10.254</systemitem> .</para>
<warning >
2005-12-19 19:38:16 +01:00
<para > Votre <acronym > FAI</acronym> pourrait allouer une adresse
<emphasis role= "bold" > RFC 1918</emphasis> <20> votre interface
externe. Si cette adresse est le sous-r<> seau <systemitem
class="ipaddress">10.10.10.0/24</systemitem> alors <emphasis
role="bold">vous aurez besoin d'un sous-r<> seau RFC 1918 DIFF<46> RENT
pour votre r<> seau local</emphasis> .</para>
2005-12-03 14:28:10 +01:00
</warning>
</caption>
</mediaobject>
</figure>
2004-02-14 19:06:39 +01:00
</section>
<section >
<title > IP Masquerading (SNAT)</title>
2005-12-19 19:38:16 +01:00
<para > Les adresses r<> serv<72> es par la RFC 1918 sont parfois d<> sign<67> es comme
non-routables car les routeurs centraux d'internet (backbone) ne font pas
suivre les paquets qui ont une adresse de destination appartenant <20> la
RFC-1918. Lorsqu'un de vos syst<73> mes en local (supposons Computer 1) envoie
une demande de connexion <20> un serveur internet, le firewall doit effectuer
une traduction d'adresse r<> seau ou <emphasis > Network Address Translation
(</emphasis> <acronym > <acronym > NAT</acronym> </acronym> ). Le firewall
r<> <72> crit l'adresse source dans le paquet et la remplace par l'adresse de
l'interface externe du firewall; en d'autres termes, le firewall fait
croire que c'est lui m<> me qui initie la connexion. Ceci est n<> cessaire
afin que l'h<> te de destination soit capable de renvoyer les paquets au
firewall (souvenez vous que les paquets qui ont pour adresse de
destination une adresse r<> serv<72> e par la RFC 1918 ne peuvent pas <20> tre
rout<75> s <20> travers internet, donc l'h<> te internet ne peut adresser sa
r<> ponse <20> l'ordinateur 1). Lorsque le firewall re<72> oit le paquet de
r<> ponse, il r<> <72> crit l'adresse de destination <20> <systemitem
class="ipaddress">10.10.10.1</systemitem> et fait passer le paquet vers
l'ordinateur Computer 1.</para>
<para > Sur les syst<73> mes Linux, ce proc<6F> d<EFBFBD> est souvent appel<65> <emphasis > IP
Masquerading</emphasis> mais vous verrez aussi le terme de traduction
d'adresses source ou <emphasis > Source Network Address
Translation</emphasis> (<acronym > SNAT</acronym> ). Shorewall suit la
convention utilis<69> e avec Netfilter:<itemizedlist >
2005-01-22 16:18:06 +01:00
<listitem >
2005-12-19 19:38:16 +01:00
<para > <emphasis > Masquerade</emphasis> d<> signe le cas ou vous laissez
votre firewall d<> tecter automatiquement l'adresse de votre interface
2005-01-22 16:18:06 +01:00
externe.</para>
</listitem>
<listitem >
2005-12-19 19:38:16 +01:00
<para > <emphasis > <acronym > SNAT</acronym> </emphasis> d<> signe le cas o<>
vous sp<73> cifiez explicitement l'adresse source des paquets sortant de
votre r<> seau local.</para>
2005-01-22 16:18:06 +01:00
</listitem>
</itemizedlist> Sous Shorewall, autant le
2005-12-19 19:38:16 +01:00
<emphasis > Masquerading</emphasis> que la
<emphasis > <acronym > SNAT</acronym> </emphasis> sont configur<75> s avec des
entr<74> es dans le fichier <filename > /etc/shorewall/masq</filename> . Vous
utiliserez normalement le Masquerading si votre adresse
<acronym > IP</acronym> externe est dynamique, et la <acronym > SNAT</acronym>
si votre adresse <acronym > IP</acronym> externe est statique.</para>
2004-05-09 00:31:54 +02:00
<para > <inlinegraphic fileref= "images/BD21298_.gif" format= "GIF" /> </para>
2005-01-22 16:18:06 +01:00
<para > Si votre interface externe est <filename
2005-12-19 19:38:16 +01:00
class="devicefile">eth0</filename> , si votre interface locale est
<filename class= "devicefile" > eth1</filename> et que votre interface pour
la <acronym > DMZ</acronym> est <filename
class="devicefile">eth2</filename> , vous n'avez pas besoin de modifier le
fichier fourni avec l'exemple. Dans le cas contraire, <20> ditez <filename
2005-01-22 16:18:06 +01:00
class="directory">/etc/shorewall/</filename> <filename > masq</filename> et
2005-12-19 19:38:16 +01:00
changez-le en cons<6E> quence.</para>
2004-05-09 00:31:54 +02:00
2005-12-19 19:38:16 +01:00
<para > Si, malgr<67> les avertissements, vous utilisez ce guide et que vous
voulez faire du NAT un-<2D> -un (one-to-one NAT) ou du Proxy ARP pour votre
DMZ, enlevez l'entr<74> e pour <filename class= "devicefile" > eth2</filename> de
2005-01-22 16:18:06 +01:00
<filename > <filename
class="directory">/etc/shorewall/</filename> <filename > masq</filename> </filename> .</para>
2004-05-09 00:31:54 +02:00
<para > <inlinegraphic fileref= "images/BD21298_.gif" format= "GIF" /> </para>
2005-12-19 19:38:16 +01:00
<para > Si votre adresse externe <acronym > IP</acronym> est statique, vous
pouvez la mettre dans la troisi<73> me colonne dans <filename
2005-01-22 16:18:06 +01:00
class="directory">/etc/shorewall/</filename> <filename > masq</filename> si
2005-12-19 19:38:16 +01:00
vous le d<> sirez. De toutes fa<66> ons votre firewall fonctionnera bien si vous
laissez cette colonne vide. Le fait de mettre votre adresse
<acronym > IP</acronym> statique dans la troisi<73> me colonne permet un
traitement des paquets sortants un peu plus efficace.</para>
2004-05-09 00:31:54 +02:00
<para > <inlinegraphic fileref= "images/BD21298_.gif" format= "GIF" /> </para>
2005-12-19 19:38:16 +01:00
<para > Si vous utilisez un paquetage Debian, v<> rifiez dans votre fichier de
2005-12-03 14:28:10 +01:00
configuration <filename > shorewall.conf</filename> que la valeur suivante
2005-12-19 19:38:16 +01:00
est convenablement param<61> tr<74> e, sinon faites les changements
n<> cessaires:<itemizedlist spacing= "compact" >
2005-01-22 16:18:06 +01:00
<listitem >
<para > <varname > IP_FORWARDING=On</varname> </para>
</listitem>
</itemizedlist> </para>
2004-02-14 19:06:39 +01:00
</section>
2006-12-03 18:21:52 +01:00
<section id= "DNAT" >
2005-12-19 19:38:16 +01:00
<title > Transfert de ports (DNAT)</title>
<para > Un de nos objectifs est de faire tourner un ou plusieurs serveurs
sur nos ordinateurs dans la DMZ. Puisque ces ordinateurs ont une adresse
RFC-1918, il n'est pas possible pour les clients sur internet de s'y
connecter directement. Il faudra plut<75> t <20> que ces clients adressent leurs
demandes de connexion au firewall qui r<> <72> crira l'adresse de votre serveur
comme adresse de destination, puis lui fera passer le paquet. Lorsque
votre serveur retournera sa r<> ponse, le firewall appliquera
automatiquement une r<> gle <acronym > <acronym > SNAT</acronym> </acronym> pour
r<> <72> crire l'adresse source dans la r<> ponse.</para>
<para > Ce proc<6F> d<EFBFBD> est appel<65> transfert de port (<emphasis > Port
Forwarding)</emphasis> ou traduction d'adresses r<> seau destination ou
<emphasis > Destination Network Address Translation</emphasis>
(<acronym > <acronym > DNAT</acronym> </acronym> ). Vous configurez le transfert
de port en utilisant des r<> gles <acronym > <acronym > DNAT</acronym> </acronym>
dans le fichier <filename > /etc/shorewall/rules</filename> .</para>
<para > La forme g<> n<EFBFBD> rale d'une simple r<> gle de transfert de port dans
<filename > /etc/shorewall/rules</filename> est:<programlisting > #ACTION SOURCE DEST PROTO DEST PORT(S)
2005-01-22 16:18:06 +01:00
DNAT net dmz:<emphasis > < server local IP address> </emphasis> [:<emphasis > < server port> </emphasis> ] <emphasis > < protocol> </emphasis> <emphasis > < port> </emphasis> </programlisting>
2005-12-19 19:38:16 +01:00
Si vous ne sp<73> cifiez pas <emphasis > <varname > < server
port> </varname> </emphasis> , il est suppos<6F> <20> tre le m<> me que
2005-01-22 16:18:06 +01:00
<emphasis > <varname > < port> </varname> </emphasis> .</para>
2004-05-09 00:31:54 +02:00
2006-02-26 18:19:21 +01:00
<important >
<para > Assurez-vous d'ajouter vos r<> gles apr<70> s la ligne contenant
<emphasis role= "bold" > SECTION NEW.</emphasis> </para>
</important>
2004-05-09 00:31:54 +02:00
<example >
2005-12-19 19:38:16 +01:00
<title > Vous faites tourner un serveur Web sur l'ordinateur Computer 2 de
votre <acronym > DMZ</acronym> et vous voulez faire suivre <20> ce syst<73> me
les paquets entrant en TCP sur le port 80</title>
2004-05-09 00:31:54 +02:00
2005-12-03 14:28:10 +01:00
<programlisting > #ACTION SOURCE DEST PROTO DEST PORT(S)
Web/DNAT net dmz:10.10.11.2
Web/ACCEPT loc dmz:10.10.11.2</programlisting>
<para > <itemizedlist >
2005-01-22 16:18:06 +01:00
<listitem >
2005-12-19 19:38:16 +01:00
<para > L'entr<74> e 1 fait suivre le port 80 depuis internet vers la
<acronym > DMZ</acronym> .</para>
2005-01-22 16:18:06 +01:00
</listitem>
<listitem >
2005-12-19 19:38:16 +01:00
<para > L'entr<74> e 2 autorise les connexions depuis le r<> seau
local.</para>
2005-01-22 16:18:06 +01:00
</listitem>
2005-12-19 19:38:16 +01:00
</itemizedlist> Plusieurs points importants sont <20> garder en m<> moire
2005-01-22 16:18:06 +01:00
:<itemizedlist >
<listitem >
2005-12-19 19:38:16 +01:00
<para > Lorsque vous vous connectez <20> votre serveur <20> partir de
votre r<> seau local, vous devez utiliser l'adresse IP interne du
2005-01-22 16:18:06 +01:00
serveur (<systemitem
class="ipaddress">10.10.11.2</systemitem> ).</para>
</listitem>
<listitem >
2005-12-19 19:38:16 +01:00
<para > Quelques Fournisseurs d'Acc<63> s Internet
(<acronym > FAI</acronym> ) bloquent les requ<71> tes de connexion
entrantes sur le port 80. Si vous avez des probl<62> mes pour vous
connecter <20> votre serveur web, essayez la r<> gle suivante et
connectez vous sur le port 5000 (c.a.d., connectez vous <20>
2005-12-03 14:28:10 +01:00
<literal > http://w.x.y.z:5000 ou w.x.y.z</literal> est votre IP
externe).<programlisting > #ACTION SOURCE DEST PROTO DEST PORT(S) SOURCE
2004-05-09 00:31:54 +02:00
# PORT(S)
2005-01-22 16:18:06 +01:00
DNAT net dmz:10.10.11.2:80 tcp 80 5000</programlisting> </para>
</listitem>
<listitem >
2005-12-19 19:38:16 +01:00
<para > Si vous voulez avoir la possibilit<69> de vous connecter <20>
votre serveur depuis le r<> seau local en utilisant votre adresse
2005-01-22 16:18:06 +01:00
externe, et si vous avez une adresse IP externe statique (fixe),
2005-12-19 19:38:16 +01:00
vous pouvez remplacer la r<> gle loc-> dmz pr<70> c<EFBFBD> dente par
2005-01-22 16:18:06 +01:00
:<programlisting > #ACTION SOURCE DEST PROTO DEST PORT(S) SOURCE ORIGINAL
2004-05-09 00:31:54 +02:00
# PORT(S) DEST
2005-01-22 16:18:06 +01:00
DNAT loc dmz:10.10.11.2 tcp 80 - <emphasis > < external IP> </emphasis> </programlisting> Si
2005-12-03 14:28:10 +01:00
vous avez une IP dynamique, vous devez vous assurer que votre
interface externe est en route avant de lancer Shorewall et vous
2005-12-19 19:38:16 +01:00
devez suivre les <20> tapes suivantes (en supposant que votre
2005-01-22 16:18:06 +01:00
interface externe est <filename
class="devicefile">eth0</filename> ):<orderedlist >
<listitem >
2005-12-19 19:38:16 +01:00
<para > Ins<EFBFBD> rez ce qui suit dans /etc/shorewall/params:</para>
2005-01-22 16:18:06 +01:00
<para > <command > ETH0_IP=$(find_interface_address
eth0)</command> </para>
</listitem>
<listitem >
2005-12-19 19:38:16 +01:00
<para > Votre r<> gle <literal > loc-> dmz</literal> deviendra:
2005-12-03 14:28:10 +01:00
<programlisting > #ACTION SOURCE DEST PROTO DEST PORT(S) SOURCE ORIGINAL
2004-05-09 00:31:54 +02:00
# PORT(S) DEST
2005-01-22 16:18:06 +01:00
DNAT loc dmz:10.10.11.2 tcp 80 - $ETH0_IP</programlisting> </para>
</listitem>
</orderedlist> </para>
</listitem>
<listitem >
2005-12-19 19:38:16 +01:00
<para > Si vous voulez acc<63> der <20> votre serveur depuis la DMZ en
utilisant votre adresse IP externe, regardez la <ulink
2006-04-26 17:48:46 +02:00
url="FAQ_fr.html#faq2a">FAQ 2a</ulink> .</para>
2005-01-22 16:18:06 +01:00
</listitem>
</itemizedlist> </para>
2004-05-09 00:31:54 +02:00
</example>
<para > <inlinegraphic fileref= "images/BD21298_.gif" format= "GIF" /> </para>
2005-12-19 19:38:16 +01:00
<para > Maintenant, modifiez <filename > /etc/shorewall/rules</filename> pour
ajouter les r<> gles <acronym > DNAT</acronym> dont vous avez besoin.</para>
2005-12-03 14:28:10 +01:00
<important >
2005-12-19 19:38:16 +01:00
<para > Quand vous testez des r<> gles <acronym > DNAT</acronym> telles que
celles pr<70> sent<6E> es plus haut, <emphasis role= "bold" > vous devez les tester
depuis un client A L'EXT<58> RIEUR DE VOTRE FIREWALL</emphasis> (depuis la
zone <quote > net</quote> ). Vous ne pouvez pas tester ces r<> gles de
l'int<6E> rieur !</para>
<para > Pour des astuces en cas de probl<62> me avec la
2006-04-26 17:48:46 +02:00
<acronym > DNAT</acronym> , <ulink url= "FAQ_fr.html#faq1a" > allez lire les
FAQ 1a et 1b</ulink> .</para>
2005-12-03 14:28:10 +01:00
</important>
2004-05-09 00:31:54 +02:00
</section>
2004-02-14 19:06:39 +01:00
2004-05-09 00:31:54 +02:00
<section >
2005-12-19 19:38:16 +01:00
<title > Service de Noms de Domaines (DNS)</title>
<para > Normalement, quand vous vous connectez <20> votre fournisseur d'acc<63> s
(<acronym > FAI</acronym> ), en m<> me temps que vous obtenez votre adresse IP,
votre <quote > resolver</quote> pour le Service des Noms de Domaines ou
<emphasis > Domain Name Service</emphasis>
(<acronym > <acronym > DNS</acronym> </acronym> ) pour le firewall est configur<75>
automatiquement (c.a.d., le fichier <filename > /etc/resolv.conf</filename>
est mis <20> jour). Il arrive que votre fournisseur d'acc<63> s vous donne une
paire d'adresse <acronym > <acronym > IP</acronym> </acronym> pour les serveurs
<acronym > <acronym > DNS</acronym> </acronym> afin que vous configuriez
2005-12-03 14:28:10 +01:00
manuellement vos serveurs de noms primaire et secondaire. Quelle que soit
2005-12-19 19:38:16 +01:00
la mani<6E> re dont le <acronym > DNS</acronym> est configur<75> sur votre
firewall, il est de votre responsabilit<69> de configurer le
<quote > resolver</quote> sur chacun de vos syst<73> mes internes. Vous pouvez
proc<6F> der d'une de ces deux fa<66> ons :<itemizedlist spacing= "compact" >
2005-01-22 16:18:06 +01:00
<listitem >
2005-12-19 19:38:16 +01:00
<para > Vous pouvez configurer votre syst<73> me interne pour utiliser les
serveurs de noms de votre fournisseur d'acc<63> s. Si votre fournisseur
vous donne les adresses de ses serveurs ou si ces adresses sont
2005-12-03 14:28:10 +01:00
disponibles sur son site web, vous pouvez les utiliser pour
2005-12-19 19:38:16 +01:00
configurer vos syst<73> mes internes. Si cette information n' est pas
2005-12-03 14:28:10 +01:00
disponible, regardez dans <filename > /etc/resolv.conf</filename> sur
2005-12-19 19:38:16 +01:00
votre firewall -- les noms des serveurs sont donn<6E> s dans
l'enregistrement "<command > nameserver</command> " de ce
fichier.</para>
2005-01-22 16:18:06 +01:00
</listitem>
<listitem >
2005-12-19 19:38:16 +01:00
<para > <anchor id= "cachingdns" /> Vous pouvez configurer un cache DNS
(<emphasis > Caching Name Server)</emphasis> sur votre firewall.
<trademark > Red Hat</trademark> fournit un
<acronym > <acronym > RPM</acronym> </acronym> pour serveur cache DNS (ce
<acronym > RPM</acronym> <20> aussi besoin aussi du paquetage<acronym >
RPM</acronym> <command > bind</command> ) et pour les utilisateurs de
Bering, il y a le paquetage <command > dnscache.lrp</command> . Si vous
adoptez cette approche, vous configurez vos syst<73> mes internes pour
utiliser le firewall lui m<> me comme <20> tant le seul serveur de noms
primaire. Vous utilisez l'adresse <acronym > IP</acronym> interne du
firewall (<systemitem class= "ipaddress" > 10.10.10.254</systemitem>
dans l'exemple pr<70> c<EFBFBD> dent) pour adresse du serveur de nom. Pour
permettre <20> vos syst<73> mes locaux d'acc<63> der <20> votre serveur cache DNS,
vous devez ouvrir le port 53 (<28> la fois <acronym > UDP</acronym> and
<acronym > TCP</acronym> ) depuis le r<> seau local vers le firewall;
vous ferez ceci en ajoutant les r<> gles suivantes dans <filename
2005-01-22 16:18:06 +01:00
class="directory">/etc/shorewall/</filename> <filename > rules</filename> .</para>
</listitem>
2005-12-03 14:28:10 +01:00
</itemizedlist> </para>
<para > Si vous faites tourner le serveur de noms sur le firewall:</para>
<programlisting > #ACTION SOURCE DEST PROTO DEST PORT(S)
DNS/ACCEPT loc $FW
DNS/ACCEPT dmz $FW </programlisting>
<para > Si vous faites tourner le serveur de noms sur l'ordinateur 1 de la
2005-12-19 19:38:16 +01:00
<acronym > DMZ</acronym> :</para>
2005-12-03 14:28:10 +01:00
<programlisting > #ACTION SOURCE DEST PROTO DEST PORT(S)
DNS/ACCEPT loc dmz:10.10.11.1
DNS/ACCEPT $FW dmz:10.10.11.1 </programlisting>
2005-12-19 19:38:16 +01:00
<para > Dans la r<> gle ci-dessus, <quote > DNS/ACCEPT</quote> est un exemple
d'utilisation d'une macro pr<70> d<EFBFBD> finie. Shorewall comprend un certain nombre
de macros pr<70> d<EFBFBD> finies et vous pouvez <ulink url= "Macros.html" > ajouter les
v<> tres</ulink> . Vous pouvez trouver une liste des macros comprises dans
2005-12-03 14:28:10 +01:00
votre version de Shorewall en utilisant la commande <command > ls
2005-12-19 19:38:16 +01:00
<filename > /usr/share/shorewall/macro.*</filename> </command> ou bien la
commande <command > shorewall show macros</command> si vous utilisez une
version 3.0.3 ou ult<6C> rieure de Shorewall.</para>
2005-12-03 14:28:10 +01:00
2005-12-19 19:38:16 +01:00
<para > Vous n'<27> tes pas oblig<69> d'utiliser des macros pr<70> d<EFBFBD> finies et vous
pouvez codez vos r<> gles vous-m<> me dans le fichier
2005-12-03 14:28:10 +01:00
<filename > /etc/shorewall/rules</filename> . Le premier exemple vu plus haut
2005-12-19 19:38:16 +01:00
(serveur de noms sur le firewall) aurait pu <20> tre cod<6F> comme suit:</para>
2004-05-09 00:31:54 +02:00
<programlisting > #ACTION SOURCE DEST PROTO DEST PORT(S)
2005-12-03 14:28:10 +01:00
ACCEPT loc $FW tcp 53
ACCEPT loc $FW udp 53
ACCEPT dmz $FW tcp 53
ACCEPT dmz $FW udp 53 </programlisting>
2005-12-19 19:38:16 +01:00
<para > Au cas ou Shorewall n'inclue pas de macro pr<70> -d<> finie qui vous
convienne, vous pouvez d<> finir une macro vous-m<> me ou bien coder
directement les r<> gles appropri<72> es. Si vous ne savez pas quel port(s) et
protocole(s) une application particuli<6C> re utilise, vous pouvez regarder
2005-12-03 14:28:10 +01:00
<ulink url= "ports.htm" > ici</ulink> .</para>
2004-05-09 00:31:54 +02:00
</section>
2004-02-14 19:06:39 +01:00
2006-12-03 18:21:52 +01:00
<section id= "Open" >
2004-05-09 00:31:54 +02:00
<title > Autres Connexions</title>
2005-01-22 16:18:06 +01:00
<para > Les fichiers exemples inclus dans l'archive (three-interface)
2005-12-19 19:38:16 +01:00
contiennent la r<> gle suivante :<programlisting > #ACTION SOURCE DEST PROTO DEST PORT(S)
DNS/ACCEPT $FW net </programlisting> Cette r<> gle autorise l'acc<63> s
<acronym > DNS</acronym> <20> partir de votre firewall. Elle peut <20> tre enlev<65> e
si vous avez d<> -comment<6E> la ligne dans <filename
2004-05-09 00:31:54 +02:00
class="directory">/etc/shorewall/</filename> <filename > policy</filename>
2005-12-19 19:38:16 +01:00
autorisant toutes les connexions depuis le firewall vers internet.</para>
2004-05-09 00:31:54 +02:00
2005-12-03 14:28:10 +01:00
<para > L'exemple inclue aussi: <programlisting > #ACTION SOURCE DEST PROTO DEST PORT(S)
SSH/ACCEPT loc $FW
2005-12-19 19:38:16 +01:00
SSH/ACCEPT loc dmz </programlisting> Ces r<> gles autorisent un
2005-12-03 14:28:10 +01:00
serveur <acronym > SSH</acronym> sur votre firewall et sur chacun des
2005-12-19 19:38:16 +01:00
syst<73> mes de votre <acronym > DMZ</acronym> et permettent de s'y connecter
depuis vos syst<73> mes locaux (zone <quote > loc</quote> ).</para>
2004-05-09 00:31:54 +02:00
2005-12-19 19:38:16 +01:00
<para > Si vous d<> sirez autoriser d'autres connexions entre vos syst<73> mes, la
syntaxe g<> n<EFBFBD> rale d'une macro pr<70> -d<> finie est:</para>
2004-05-09 00:31:54 +02:00
2005-12-03 14:28:10 +01:00
<programlisting > #ACTION SOURCE DEST PROTO DEST PORT(S)
< <emphasis > macro</emphasis> > /ACCEPT <emphasis > < source zone> < destination zone> </emphasis> </programlisting>
2005-12-19 19:38:16 +01:00
<para > La syntaxe g<> n<EFBFBD> rale lorsqu'on n'utilise pas de macro pr<70> -d<> finie
2005-01-22 16:18:06 +01:00
est:<programlisting > #ACTION SOURCE DEST PROTO DEST PORT(S)
ACCEPT <emphasis > < source zone> < destination zone> < protocol> < port> </emphasis> </programlisting> </para>
2004-05-09 00:31:54 +02:00
<example >
2005-12-19 19:38:16 +01:00
<title > Vous voulez rendre votre serveur DNS sur le firewall accessible
depuis internet</title>
2004-05-09 00:31:54 +02:00
2005-12-19 19:38:16 +01:00
<para > En utilisant une macro pr<70> -d<> finie:</para>
2004-05-09 00:31:54 +02:00
2005-12-03 14:28:10 +01:00
<programlisting > #ACTION SOURCE DEST PROTO DEST PORT(S)
DNS/ACCEPT net $FW</programlisting>
2004-05-09 00:31:54 +02:00
2005-12-19 19:38:16 +01:00
<para > En n'utilisant pas de macro pr<70> -d<> finie:</para>
2004-05-09 00:31:54 +02:00
<programlisting > #ACTION SOURCE DEST PROTO DEST PORT(S)
2005-12-03 14:28:10 +01:00
ACCEPT net $FW tcp 53
ACCEPT net $FW udp 53 </programlisting>
2004-05-09 00:31:54 +02:00
2005-12-19 19:38:16 +01:00
<para > Ces deux r<> gles viennent <20> videmment s'ajouter <20> celles pr<70> sent<6E> es
plus haut dans <quote > <link linkend= "cachingdns" > Vous pouvez configurer
un cache DNS sur votre firewall</link> </quote> .</para>
2004-05-09 00:31:54 +02:00
</example>
2005-12-03 14:28:10 +01:00
<para > Si vous ne savez pas quel port(s) et protocole(s) une application
2005-12-19 19:38:16 +01:00
particuli<6C> re utilise, vous pouvez regarder <ulink
2005-01-22 16:18:06 +01:00
url="ports.htm">ici</ulink> .</para>
2004-05-09 00:31:54 +02:00
<important >
2005-01-22 16:18:06 +01:00
<para > Je ne recommande pas d'autoriser <command > telnet</command> vers/de
2005-12-19 19:38:16 +01:00
internet parce qu'il utilise du texte en clair (m<> me pour le login !).
Si vous voulez un acc<63> s shell <20> votre firewall, utilisez <acronym > SSH
2005-12-03 14:28:10 +01:00
:</acronym> <programlisting > #ACTION SOURCE DEST PROTO DEST PORT(S)
SSH/ACCEPT net $FW</programlisting> </para>
2004-05-09 00:31:54 +02:00
</important>
<para > <inlinegraphic fileref= "images/leaflogo.gif" format= "GIF" /> Les
2005-12-19 19:38:16 +01:00
utilisateurs de Bering pourront ajouter les deux r<> gles suivantes pour
<20> tre compatible avec la configuration du firewall de Jacques (Jacques's
Shorewall configuration).<programlisting > #ACTION SOURCE DEST PROTO DEST PORT(S)
2005-12-03 14:28:10 +01:00
ACCEPT loc $FW udp 53
ACCEPT net $FW tcp 80 </programlisting> <itemizedlist >
2005-01-22 16:18:06 +01:00
<listitem >
2005-12-19 19:38:16 +01:00
<para > L'entr<74> e 1 autorise l'utilisation du Cache DNS.</para>
2005-01-22 16:18:06 +01:00
</listitem>
<listitem >
2005-12-19 19:38:16 +01:00
<para > L'entr<74> e 2 autorise le <quote > weblet</quote> <20>
2005-01-22 16:18:06 +01:00
fonctionner.</para>
</listitem>
</itemizedlist> <inlinegraphic fileref= "images/BD21298_.gif"
format="GIF" /></para>
2004-02-14 19:06:39 +01:00
2005-12-19 19:38:16 +01:00
<para > Maintenant, <20> ditez votre fichier de configuration <filename
2004-05-09 00:31:54 +02:00
class="directory">/etc/shorewall/</filename> <filename > rules</filename>
2005-12-19 19:38:16 +01:00
pour ajouter, modifier ou supprimer d'autres connexions suivant vos
besoins.</para>
2004-05-09 00:31:54 +02:00
</section>
2004-02-14 19:06:39 +01:00
2004-05-09 00:31:54 +02:00
<section >
2005-12-19 19:38:16 +01:00
<title > Quelques Points <20> Garder en M<> moire</title>
2004-02-14 19:06:39 +01:00
<itemizedlist >
<listitem >
2005-12-03 14:28:10 +01:00
<para > <emphasis role= "bold" > Vous ne pouvez pas tester votre firewall
2005-12-19 19:38:16 +01:00
depuis l'int<6E> rieur de votre r<> seau</emphasis> . Envoyer des requ<71> tes <20>
2005-12-03 14:28:10 +01:00
l'adresse IP externe de votre firewall ne signifie pas qu'elle seront
2005-12-19 19:38:16 +01:00
associ<63> es <20> votre interface externe ou <20> la zone <quote > net</quote> .
Tout trafic g<> n<EFBFBD> r<EFBFBD> par le r<> seau local sera associ<63> <20> l'interface
locale et sera trait<69> comme du trafic du r<> seau local vers le firewall
(loc-> fw).</para>
2004-02-14 19:06:39 +01:00
</listitem>
<listitem >
2005-12-19 19:38:16 +01:00
<para > <emphasis role= "bold" > Les adresses IP sont des propri<72> t<EFBFBD> s des
syst<73> mes, pas des interfaces</emphasis> . C'est une erreur de croire
2005-12-03 14:28:10 +01:00
que votre firewall est capable de faire suivre
(<emphasis > forward</emphasis> ) des paquets simplement parce que vous
2005-12-19 19:38:16 +01:00
pouvez faire un <command > ping</command> sur l'adresse IP de toutes les
interfaces du firewall depuis le r<> seau local. La seule conclusion que
vous puissiez tirer dans ce cas est que le lien entre le r<> seau local
et le firewall fonctionne et que vous avez probablement la bonne
adresse de passerelle par d<> faut sur votre syst<73> me.</para>
2004-05-09 00:31:54 +02:00
</listitem>
2004-02-14 19:06:39 +01:00
2004-05-09 00:31:54 +02:00
<listitem >
2005-12-19 19:38:16 +01:00
<para > <emphasis role= "bold" > Toutes les adresses IP configur<75> es sur le
2004-05-09 00:31:54 +02:00
firewall sont dans la zone $FW (fw)</emphasis> . Si 192.168.1.254 est
2005-12-19 19:38:16 +01:00
l'adresse IP de votre interface interne, alors vous pouvez <20> crire
2004-05-09 00:31:54 +02:00
<quote > <emphasis role= "bold" > $FW:192.168.1.254</emphasis> </quote> dans
2005-12-19 19:38:16 +01:00
une r<> gle mais vous ne devez pas <20> crire <quote > <emphasis
role="bold">loc:192.168.1.254</emphasis> </quote> . C'est aussi une
absurdit<69> d'ajouter 192.168.1.254 <20> la zone <emphasis
role="bold">loc</emphasis> en utilisant une entr<74> e dans
2004-05-09 00:31:54 +02:00
<filename > /etc/shorewall/hosts</filename> .</para>
</listitem>
2004-02-14 19:06:39 +01:00
2004-05-09 00:31:54 +02:00
<listitem >
2005-12-19 19:38:16 +01:00
<para > <emphasis role= "bold" > Les paquets de retour (reply) ne suivent
PAS automatiquement le chemin inverse de la requ<71> te
d'origine</emphasis> . Tous les paquets sont rout<75> s en se r<> f<EFBFBD> rant <20> la
table de routage respective de chaque h<> te <20> chaque <20> tape du trajet.
Ce probl<62> me se produit en g<> n<EFBFBD> ral lorsque on installe un firewall
Shorewall en parall<6C> le <20> une passerelle existante et qu'on essaye
d'utiliser des r<> gles <acronym > DNAT</acronym> dans Shorewall sans
changer la passerelle par d<> faut sur les syst<73> mes recevant les
requ<71> tes transf<73> r<EFBFBD> es (forwarded). Les requ<71> tes passent dans le
firewall Shorewall o<> l'adresse de destination IP est r<> <72> crite, mais
la r<> ponse revient par l'ancienne passerelle qui, elle, ne modifiera
pas le paquet.</para>
2004-05-09 00:31:54 +02:00
</listitem>
2004-02-14 19:06:39 +01:00
2004-05-09 00:31:54 +02:00
<listitem >
2005-12-19 19:38:16 +01:00
<para > <emphasis role= "bold" > Shorewall lui-m<> me n'a aucune notion du
dedans et du dehors</emphasis> . Ces concepts d<> pendent de la fa<66> on
dont Shorewall est configur<75> .</para>
2004-02-14 19:06:39 +01:00
</listitem>
</itemizedlist>
2004-05-09 00:31:54 +02:00
</section>
2004-02-14 19:06:39 +01:00
2004-05-09 00:31:54 +02:00
<section >
2005-12-19 19:38:16 +01:00
<title > D<EFBFBD> marrer et Arr<72> ter Votre Firewall</title>
2004-02-14 19:06:39 +01:00
2004-05-09 00:31:54 +02:00
<para > <inlinegraphic fileref= "images/BD21298_.gif" format= "GIF" /> </para>
2004-02-14 19:06:39 +01:00
2006-04-19 17:51:01 +02:00
<para > La <ulink url= "Install_fr.html" > proc<EFBFBD> dure d'installation</ulink>
2005-12-19 19:38:16 +01:00
configure votre syst<73> me pour lancer Shorewall d<> s le boot du syst<73> me, mais
le lancement est d<> sactiv<69> , de fa<66> on <20> ce que votre syst<73> me ne tente pas
de lancer Shorewall avant que la configuration ne soit termin<69> e. Une fois
que vous en avez fini avec la configuration du firewall, vous devez <20> diter
2005-12-03 14:28:10 +01:00
/etc/shorewall/shorewall.conf et y mettre STARTUP_ENABLED=Yes.<important >
2005-12-19 19:38:16 +01:00
<para > Les utilisateurs des paquetages .deb doivent <20> diter <filename
2005-01-22 16:18:06 +01:00
class="directory">/etc/default/</filename> <filename > shorewall</filename>
et mettre <varname > startup=1</varname> .</para>
2005-12-19 19:38:16 +01:00
</important> </para>
<para > Le firewall est activ<69> en utilisant la commande
<quote > <command > shorewall start</command> </quote> et arr<72> t<EFBFBD> avec la
commande <quote > <command > shorewall stop</command> </quote> . Lorsque le
firewall est arr<72> t<EFBFBD> , le routage est autoris<69> sur les h<> tes qui poss<73> dent
une entr<74> e dans <filename class= "directory" > <ulink
url="Documentation.htm#Routestopped">/etc/shorewall/routestopped</ulink> </filename> .
Un firewall qui tourne peut <20> tre relanc<6E> en utilisant la commande
<quote > <command > shorewall restart</command> </quote> . Si vous voulez
enlever toute trace de Shorewall sur votre configuration de Netfilter,
utilisez <quote > <emphasis role= "bold" > shorewall
clear</emphasis> </quote> </para>
2004-05-09 00:31:54 +02:00
<para > <inlinegraphic fileref= "images/BD21298_.gif" format= "GIF" /> </para>
2005-12-19 19:38:16 +01:00
<para > Les fichiers de l'exemple Firewall <20> Trois Interfaces
(three-interface) supposent que vous voulez autoriser le routage depuis ou
vers <filename class= "devicefile" > eth1</filename> (votre r<> seau local) et
<filename class= "devicefile" > eth2</filename> (votre DMZ) lorsque Shorewall
est arr<72> t<EFBFBD> . Si ces interfaces ne sont pas connect<63> es <20> votre r<> seau local
ou <20> votre DMZ, ou bien que vous voulez permettre l'acc<63> s depuis ou vers
d'autres h<> tes, modifiez <filename
class="directory">/etc/shorewall/</filename> <filename > <ulink
url="Documentation.htm#Routestopped">routestopped</ulink> </filename> en
cons<6E> quence. <warning >
<para > Si vous <20> tes connect<63> <20> votre firewall depuis internet,
n'essayez pas d'ex<65> cuter une commande <quote > <command > shorewall
stop</command> </quote> tant que vous n'avez pas ajout<75> une entr<74> e dans
<filename > <filename
class="directory">/etc/shorewall/</filename> <filename > routestopped</filename> </filename>
pour l'adresse IP <20> partir de laquelle vous <20> tes connect<63> . De la m<> me
mani<6E> re, je vous d<> conseille d'utiliser <quote > <command > shorewall
restart</command> </quote> ; il est plus int<6E> ressant de cr<63> er <ulink
url="configuration_file_basics.htm#Configs">une configuration
alternative</ulink> et de la tester en utilisant la commande
<quote > <ulink url= "starting_and_stopping_shorewall.htm" > shorewall
try</ulink> </quote> </para>
</warning> </para>
2004-05-09 00:31:54 +02:00
</section>
2004-02-14 19:06:39 +01:00
2006-02-26 18:19:21 +01:00
<section >
<title > Si cela ne marche pas</title>
<itemizedlist >
<listitem >
<para > V<EFBFBD> rifiez <20> nouveau chacun des points rep<65> r<EFBFBD> s par un fl<66> che
rouge.</para>
</listitem>
<listitem >
<para > V<EFBFBD> rifiez vos <ulink
url="shorewall_logging.html">journaux</ulink> .</para>
</listitem>
<listitem >
<para > V<EFBFBD> rifiez le <ulink url= "troubleshoot.htm" > Troubleshooting
Guide</ulink> .</para>
</listitem>
<listitem >
2006-04-26 17:48:46 +02:00
<para > V<EFBFBD> rifiez la <ulink url= "FAQ_fr.html" > FAQ</ulink> .</para>
2006-02-26 18:19:21 +01:00
</listitem>
</itemizedlist>
</section>
2004-05-09 00:31:54 +02:00
<section >
2005-12-19 19:38:16 +01:00
<title > Autres Lectures Recommand<6E> es</title>
2004-02-14 19:06:39 +01:00
2004-05-09 00:31:54 +02:00
<para > Je vous recommande vivement de lire la <ulink
2005-12-19 19:38:16 +01:00
url="configuration_file_basics.htm">page des Fonctionnalit<69> s G<> n<EFBFBD> rales des
Fichiers de Configuration</ulink> -- elle contient des astuces sur des
possibilit<69> s de Shorewall qui peuvent rendre plus ais<69> e l'administration
de votre firewall Shorewall.</para>
2004-02-14 19:06:39 +01:00
</section>
2006-04-19 17:51:01 +02:00
</article>