2005-12-19 19:38:16 +01:00
|
|
|
|
<?xml version="1.0" encoding="ISO-8859-15"?>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
<!DOCTYPE article PUBLIC "-//OASIS//DTD DocBook XML V4.2//EN"
|
|
|
|
|
"http://www.oasis-open.org/docbook/xml/4.2/docbookx.dtd">
|
2006-02-26 18:18:04 +01:00
|
|
|
|
<article id="standalone_fr" lang="fr">
|
2004-05-09 00:31:54 +02:00
|
|
|
|
<!--$Id$-->
|
|
|
|
|
|
2004-02-14 19:06:39 +01:00
|
|
|
|
<articleinfo>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<title>Firewall Monoposte (une interface)</title>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
2006-02-26 18:18:04 +01:00
|
|
|
|
<subtitle>Version Fran<61>aise de <foreignphrase lang="en"><ulink
|
|
|
|
|
url="http://www.shorewall.net/standalone.htm">Standalone
|
|
|
|
|
Firewall</ulink></foreignphrase></subtitle>
|
|
|
|
|
|
2004-02-14 19:06:39 +01:00
|
|
|
|
<authorgroup>
|
|
|
|
|
<author>
|
|
|
|
|
<firstname>Tom</firstname>
|
|
|
|
|
|
|
|
|
|
<surname>Eastep</surname>
|
|
|
|
|
</author>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
2006-02-26 18:18:04 +01:00
|
|
|
|
<othercredit role="translator">
|
2004-05-09 00:31:54 +02:00
|
|
|
|
<firstname>Patrice</firstname>
|
|
|
|
|
|
|
|
|
|
<surname>Vetsel</surname>
|
|
|
|
|
|
2006-02-26 18:18:04 +01:00
|
|
|
|
<contrib>Traduction fran<61>aise initiale</contrib>
|
|
|
|
|
</othercredit>
|
|
|
|
|
|
|
|
|
|
<othercredit role="translator">
|
2004-05-09 00:31:54 +02:00
|
|
|
|
<firstname>Fabien</firstname>
|
|
|
|
|
|
|
|
|
|
<surname>Demassieux</surname>
|
2005-11-20 10:49:00 +01:00
|
|
|
|
|
2006-02-26 18:18:04 +01:00
|
|
|
|
<contrib>Adaptation fran<61>aise version 2.0</contrib>
|
|
|
|
|
</othercredit>
|
|
|
|
|
|
|
|
|
|
<othercredit role="translator">
|
2005-11-20 10:49:00 +01:00
|
|
|
|
<firstname>Guy</firstname>
|
|
|
|
|
|
|
|
|
|
<surname>Marcenac</surname>
|
2006-02-26 18:18:04 +01:00
|
|
|
|
|
|
|
|
|
<contrib>Adaptation fran<61>aise version 3.0</contrib>
|
|
|
|
|
</othercredit>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
</authorgroup>
|
|
|
|
|
|
2006-07-07 03:11:19 +02:00
|
|
|
|
<pubdate><?dbtimestamp format="Y/m/d"?></pubdate>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
|
|
|
|
<copyright>
|
2006-02-26 18:18:04 +01:00
|
|
|
|
<year>2002-2006</year>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
|
|
|
|
<holder>Thomas M. Eastep</holder>
|
2005-01-22 16:18:06 +01:00
|
|
|
|
|
|
|
|
|
<holder>Patrice Vetsel</holder>
|
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<holder>Fabien Demassieux</holder>
|
2005-11-20 10:49:00 +01:00
|
|
|
|
|
|
|
|
|
<holder>Guy Marcenac</holder>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
</copyright>
|
|
|
|
|
|
|
|
|
|
<legalnotice>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Permission est accord<72>e de copier, distribuer et/ou modifier ce
|
|
|
|
|
document selon les termes de la Licence de Documentation Libre GNU (GNU
|
|
|
|
|
Free Documentation License), version 1.2 ou toute version ult<6C>rieure
|
|
|
|
|
publi<6C>e par la Free Software Foundation ; sans section Invariables, sans
|
|
|
|
|
premi<6D>re de Couverture, et sans texte de quatri<72>me de couverture. Une
|
|
|
|
|
copie de la pr<70>sente Licence est incluse dans la section intitul<75>e. Une
|
|
|
|
|
traduction fran<61>aise de la licence se trouve dans la section
|
2006-04-26 17:48:46 +02:00
|
|
|
|
<quote><ulink url="http://cesarx.free.fr/gfdlf.html">Licence de
|
2005-12-19 19:38:16 +01:00
|
|
|
|
Documentation Libre GNU</ulink></quote>. Ce paragraphe est une
|
|
|
|
|
traduction fran<61>aise pour aider <20> votre compr<70>hension. Seul le texte
|
|
|
|
|
original en anglais pr<70>sent<6E> ci-dessous fixe les conditions
|
|
|
|
|
d'utilisation de cette documentation.</para>
|
|
|
|
|
|
2004-02-14 19:06:39 +01:00
|
|
|
|
<para>Permission is granted to copy, distribute and/or modify this
|
2004-05-09 00:31:54 +02:00
|
|
|
|
document under the terms of the GNU Free Documentation License, Version
|
2004-02-14 19:06:39 +01:00
|
|
|
|
1.2 or any later version published by the Free Software Foundation; with
|
|
|
|
|
no Invariant Sections, with no Front-Cover, and with no Back-Cover
|
2004-05-09 00:31:54 +02:00
|
|
|
|
Texts. A copy of the license is included in the section entitled
|
2005-01-22 16:18:06 +01:00
|
|
|
|
<quote><ulink url="GnuCopyright.htm">GNU Free Documentation
|
|
|
|
|
License</ulink></quote>.</para>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
</legalnotice>
|
|
|
|
|
</articleinfo>
|
|
|
|
|
|
|
|
|
|
<note>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
<para><emphasis role="underline">Notes du traducteur :</emphasis> Le guide
|
2005-12-19 19:38:16 +01:00
|
|
|
|
initial a <20>t<EFBFBD> traduit par <ulink
|
2005-11-20 10:49:00 +01:00
|
|
|
|
url="mailto:vetsel.patrice@wanadoo.fr">VETSEL Patrice</ulink> et la
|
2005-12-19 19:38:16 +01:00
|
|
|
|
r<>vision pour la version 2 de Shorewall a <20>t<EFBFBD> effectu<74>e par <ulink
|
|
|
|
|
url="mailto:fd03x@wanadoo.fr">Fabien Demassieux</ulink>. J'ai assur<75> la
|
|
|
|
|
r<>vision pour l'adapter <20> la version 3 de Shorewall. Si vous trouvez des
|
2006-02-26 18:18:04 +01:00
|
|
|
|
erreurs ou des am<61>liorations <20> y apporter vous pouvez <ulink
|
|
|
|
|
url="mailto:guy@posteurs.com">me contacter</ulink>.</para>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
</note>
|
|
|
|
|
|
2005-12-03 14:26:46 +01:00
|
|
|
|
<caution>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para><emphasis role="bold">Cet article s'applique <20> Shorewall 3.0 et <20>
|
|
|
|
|
ses versions ult<6C>rieures. Si vous utilisez une version plus ancienne de
|
|
|
|
|
Shorewall, r<>f<EFBFBD>rez-vous <20> la documentation s'appliquant <20> votre
|
2005-12-03 14:26:46 +01:00
|
|
|
|
version.</emphasis></para>
|
|
|
|
|
</caution>
|
|
|
|
|
|
|
|
|
|
<warning>
|
|
|
|
|
<para>Les fichiers de configuration pour l'exemple fournis avec Shorewall
|
2005-12-19 19:38:16 +01:00
|
|
|
|
3.0.0 et 3.0.1 ne fonctionnaient pas. La premi<6D>re erreur <20> se produire
|
|
|
|
|
<20>tait:</para>
|
2005-12-03 14:26:46 +01:00
|
|
|
|
|
|
|
|
|
<para><emphasis role="bold">ERROR: No Firewall Zone
|
|
|
|
|
Defined</emphasis></para>
|
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Vous trouverez les fichiers corrig<69>s 'zones' et 'interfaces' <20> cette
|
2005-12-03 14:26:46 +01:00
|
|
|
|
adresse <ulink
|
|
|
|
|
url="http://www.shorewall.net/pub/shorewall/3.0/shorewall-3.0.1/errata/one-interface/">http://www.shorewall.net/pub/shorewall/3.0/shorewall-3.0.1/errata/one-interface/</ulink>.</para>
|
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Le probl<62>me a <20>t<EFBFBD> r<>solu avec Shorewall 3.0.2.</para>
|
2005-12-03 14:26:46 +01:00
|
|
|
|
</warning>
|
|
|
|
|
|
2004-05-09 00:31:54 +02:00
|
|
|
|
<section>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
<title>Introduction</title>
|
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Configurer Shorewall sur un syst<73>me isol<6F> Linux est tr<74>s simple si
|
2004-05-09 00:31:54 +02:00
|
|
|
|
vous comprenez les bases et suivez la documentation.</para>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Ce guide ne pr<70>tend pas vous apprendre tous les rouages de
|
|
|
|
|
Shorewall. Il se concentre sur ce qui est n<>cessaire pour configurer
|
|
|
|
|
Shorewall dans son utilisation la plus courante :</para>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
|
|
|
|
<itemizedlist>
|
|
|
|
|
<listitem>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Un syst<73>me Linux</para>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
</listitem>
|
|
|
|
|
|
|
|
|
|
<listitem>
|
|
|
|
|
<para>Une seule adresse IP externe</para>
|
|
|
|
|
</listitem>
|
|
|
|
|
|
|
|
|
|
<listitem>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Une connexion passant par un modem c<>ble,
|
|
|
|
|
<acronym>ADSL</acronym>, <acronym>ISDN-RNIS</acronym>, Frame Relay,
|
|
|
|
|
<acronym>RTC</acronym>... ou bien une connexion <20> un r<>seau local
|
|
|
|
|
(<acronym>LAN</acronym>) et vous souhaitez simplement prot<6F>ger votre
|
|
|
|
|
syst<73>me Linux des autres syst<73>mes sur ce r<>seau local.</para>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
</listitem>
|
|
|
|
|
</itemizedlist>
|
|
|
|
|
|
2004-05-09 00:31:54 +02:00
|
|
|
|
<section>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<title>Pr<EFBFBD>-requis syst<73>me</title>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
2005-01-22 16:18:06 +01:00
|
|
|
|
<para>Shorewall a besoin que le package
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<command><command>iproute</command></command>/<command><command>iproute2</command></command>
|
|
|
|
|
soit install<6C> (avec la distribution <trademark>RedHat</trademark>, le
|
|
|
|
|
package s'appelle <command>iproute</command>). Vous pouvez v<>rifier que
|
|
|
|
|
le package est install<6C> en contr<74>lant la pr<70>sence du programme
|
|
|
|
|
<command><command>ip</command></command> sur votre firewall. En tant que
|
|
|
|
|
<systemitem class="username">root</systemitem>, vous pouvez utiliser la
|
|
|
|
|
commande <command><command>which</command></command> pour cela:</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
|
|
|
|
<programlisting>[root@gateway root]# <command>which ip</command>
|
|
|
|
|
/sbin/ip
|
|
|
|
|
[root@gateway root]#</programlisting>
|
|
|
|
|
</section>
|
|
|
|
|
|
|
|
|
|
<section>
|
|
|
|
|
<title>Avant de commencer</title>
|
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Je vous recommande de commencer par une lecture compl<70>te du guide
|
|
|
|
|
afin de vous familiariser avec les concepts mis en oeuvre, puis de
|
|
|
|
|
recommencer la lecture et seulement alors d'appliquer vos modifications
|
|
|
|
|
de configuration.</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
|
|
|
|
<caution>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Si vous <20>ditez vos fichiers de configuration sur un syst<73>me
|
|
|
|
|
<trademark>Windows</trademark>, vous devez les enregistrer comme des
|
|
|
|
|
fichiers <trademark>Unix</trademark> si votre <20>diteur supporte cette
|
|
|
|
|
option, sinon vous devez les convertir avec
|
|
|
|
|
<command>dos2unix</command> avant d'essayer de les utiliser. De la
|
|
|
|
|
m<>me mani<6E>re, si vous copiez un fichier de configuration depuis votre
|
|
|
|
|
disque dur <trademark>Windows</trademark> vers une disquette, vous
|
|
|
|
|
devez lancer <command>dos2unix</command> sur la copie avant de
|
|
|
|
|
l'utiliser avec Shorewall.</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
2005-11-20 10:49:00 +01:00
|
|
|
|
<simplelist>
|
|
|
|
|
<member><ulink url="http://www.simtel.net/pub/pd/51438.html">Version
|
|
|
|
|
Windows de dos2unix</ulink></member>
|
|
|
|
|
|
|
|
|
|
<member><ulink
|
|
|
|
|
url="http://www.megaloman.com/~hany/software/hd2u/">Version Linux de
|
|
|
|
|
dos2unix</ulink></member>
|
|
|
|
|
</simplelist>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
</caution>
|
|
|
|
|
</section>
|
|
|
|
|
|
|
|
|
|
<section>
|
|
|
|
|
<title>Conventions</title>
|
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Les points ou les modifications qui s'imposent sont indiqu<71>s par
|
2004-05-09 00:31:54 +02:00
|
|
|
|
<inlinegraphic fileref="images/BD21298_.gif" format="GIF" />.</para>
|
|
|
|
|
</section>
|
|
|
|
|
</section>
|
|
|
|
|
|
|
|
|
|
<section>
|
|
|
|
|
<title>PPTP/ADSL</title>
|
|
|
|
|
|
|
|
|
|
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
|
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Si vous <20>tes <20>quip<69> d'un modem
|
|
|
|
|
<acronym><acronym>ADSL</acronym></acronym> et que vous utilisez
|
|
|
|
|
<acronym><acronym>PPTP</acronym></acronym> pour communiquer avec un
|
|
|
|
|
serveur <20> travers ce modem, vous devez faire les changements <ulink
|
|
|
|
|
url="PPTP.htm#PPTP_ADSL">suivants</ulink> en plus de ceux d<>crits
|
|
|
|
|
ci-dessous. <acronym><acronym>ADSL</acronym></acronym> avec
|
|
|
|
|
<acronym><acronym>PPTP</acronym></acronym> est r<>pandu en Europe,
|
|
|
|
|
notamment en Autriche.</para>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
</section>
|
|
|
|
|
|
|
|
|
|
<section>
|
|
|
|
|
<title>Les Concepts de Shorewall</title>
|
|
|
|
|
|
2004-05-09 00:31:54 +02:00
|
|
|
|
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
|
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Les fichiers de configuration pour Shorewall sont situ<74>s dans le
|
|
|
|
|
r<>pertoire <filename class="directory">/etc/shorewall</filename> -- pour
|
|
|
|
|
de simples param<61>trages, vous n'aurez <20> faire qu'avec quelques-uns d'entre
|
|
|
|
|
eux comme d<>crit dans ce guide. Apr<70>s avoir <ulink
|
2006-04-26 17:48:46 +02:00
|
|
|
|
url="Install_fr.html">install<6C> Shorewall</ulink>,vous pourrez trouver les
|
2005-12-19 19:38:16 +01:00
|
|
|
|
exemples de la mani<6E>re suivante:</para>
|
2005-11-20 10:49:00 +01:00
|
|
|
|
|
|
|
|
|
<para><orderedlist>
|
|
|
|
|
<listitem>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Si vous avez install<6C> shorewall en utilisant un
|
|
|
|
|
<acronym>RPM</acronym>, les exemples seront dans le sous-r<>pertoire
|
|
|
|
|
<filename class="directory">Samples/one-interface/</filename> du
|
|
|
|
|
r<>pertoire de la documentation de Shorewall. Si vous ne savez pas o<>
|
|
|
|
|
se trouve le r<>pertoire de la documentation de Shorewall, vous
|
|
|
|
|
pouvez trouver les exemples en utilisant cette commande:</para>
|
2005-11-20 10:49:00 +01:00
|
|
|
|
|
|
|
|
|
<programlisting>~# rpm -ql shorewall | fgrep one-interface
|
|
|
|
|
/usr/share/doc/packages/shorewall/Samples/one-interface
|
|
|
|
|
/usr/share/doc/packages/shorewall/Samples/one-interface/interfaces
|
|
|
|
|
/usr/share/doc/packages/shorewall/Samples/one-interface/policy
|
|
|
|
|
/usr/share/doc/packages/shorewall/Samples/one-interface/rules
|
|
|
|
|
/usr/share/doc/packages/shorewall/Samples/one-interface/zones
|
|
|
|
|
~#</programlisting>
|
|
|
|
|
</listitem>
|
|
|
|
|
|
|
|
|
|
<listitem>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Si vous avez install<6C> depuis le tarball, les exemples sont
|
|
|
|
|
dans le r<>pertoire <filename>Samples/one-interface</filename> du
|
2005-11-20 10:49:00 +01:00
|
|
|
|
tarball.</para>
|
|
|
|
|
</listitem>
|
|
|
|
|
|
|
|
|
|
<listitem>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Si vous avez install<6C> en utilisant un .deb, les exemples sont
|
2005-11-20 10:49:00 +01:00
|
|
|
|
dans
|
|
|
|
|
<filename>/usr/share/doc/shorewall/examples/one-interface</filename>.</para>
|
|
|
|
|
</listitem>
|
|
|
|
|
</orderedlist><warning>
|
2006-11-28 22:38:26 +01:00
|
|
|
|
<para><emphasis role="bold">Note aux utilisateurs de Debian et de
|
|
|
|
|
Ubuntu</emphasis></para>
|
2005-11-20 10:49:00 +01:00
|
|
|
|
|
|
|
|
|
<para>Si vous vous servez du .deb pour installer, vous vous rendrez
|
2005-12-19 19:38:16 +01:00
|
|
|
|
compte que votre r<>pertoire <filename>/etc/shorewall</filename> est
|
2005-11-20 10:49:00 +01:00
|
|
|
|
vide. Ceci est voulu. Les squelettes des fichiers de configuration se
|
2005-12-19 19:38:16 +01:00
|
|
|
|
trouvent sur votre syst<73>me dans le r<>pertoire <filename
|
2005-11-20 10:49:00 +01:00
|
|
|
|
class="directory">/usr/share/doc/shorewall/default-config</filename>.
|
|
|
|
|
Copiez simplement les fichiers dont vous avez besoin depuis ce
|
2005-12-19 19:38:16 +01:00
|
|
|
|
r<>pertoire dans <filename class="directory">/etc/shorewall</filename>,
|
2005-11-20 10:49:00 +01:00
|
|
|
|
puis modifiez ces copies.</para>
|
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Remarquez que vous devez copier
|
|
|
|
|
<filename>/usr/share/doc/shorewall/default-config/shorewall.conf</filename>
|
|
|
|
|
et
|
2005-11-20 10:49:00 +01:00
|
|
|
|
<filename>/usr/share/doc/shorewall/default-config/modules</filename>
|
|
|
|
|
dans <filename
|
2005-12-19 19:38:16 +01:00
|
|
|
|
class="directory"><filename>/etc/shorewall</filename></filename> m<>me
|
2005-11-20 10:49:00 +01:00
|
|
|
|
si vous ne modifiez pas ces fichiers.</para>
|
|
|
|
|
</warning></para>
|
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Au fur et <20> mesure de la pr<70>sentation de chaque fichier, je vous
|
|
|
|
|
sugg<67>re de jeter un oeil <20> ceux qui sont physiquement pr<70>sents sur votre
|
|
|
|
|
syst<73>me -- chacun de ces fichiers contient des instructions de
|
|
|
|
|
configuration d<>taill<6C>es et des entr<74>es par d<>faut.</para>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Shorewall voit le r<>seau o<> il fonctionne, comme <20>tant compos<6F> d'un
|
2005-12-03 14:26:46 +01:00
|
|
|
|
ensemble de <emphasis>zones</emphasis>. Dans les fichiers de configuration
|
2005-12-19 19:38:16 +01:00
|
|
|
|
fournis dans l'archive d'exemples pour une seule interface, deux zones
|
|
|
|
|
seulement sont d<>finies :</para>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
2005-11-20 10:49:00 +01:00
|
|
|
|
<para><programlisting>#ZONE TYPE OPTIONS IN OUT
|
|
|
|
|
# OPTIONS OPTIONS
|
|
|
|
|
fw firewall
|
|
|
|
|
net ipv4</programlisting></para>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Les zones de Shorewall sont d<>finies dans <filename><ulink
|
2005-11-20 10:49:00 +01:00
|
|
|
|
url="Documentation.htm#Zones">/etc/shorewall/zones</ulink></filename>.</para>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Remarquez que Shorewall reconna<6E>t le syst<73>me de firewall comme <20>tant
|
|
|
|
|
sa propre zone. Le nom de la zone firewall (<emphasis
|
|
|
|
|
role="bold">fw</emphasis> dans l'exemple plus haut) est stock<63> dans la
|
|
|
|
|
variable d'environnement <emphasis>$FW,</emphasis> qui peut <20>tre utilis<69>e
|
|
|
|
|
depuis l'ensemble des autres fichiers de configuration de Shorewall pour
|
|
|
|
|
faire r<>f<EFBFBD>rence au firewall lui-m<>me.</para>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Les r<>gles concernant le trafic <20> autoriser ou <20> interdire sont
|
|
|
|
|
exprim<69>es en utilisant les termes de zones.</para>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
2004-05-09 00:31:54 +02:00
|
|
|
|
<itemizedlist>
|
|
|
|
|
<listitem>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Vous exprimez votre politique par d<>faut pour les connexions
|
2005-01-22 16:18:06 +01:00
|
|
|
|
d'une zone vers une autre zone dans le fichier <ulink
|
|
|
|
|
url="Documentation.htm#Policy"><filename
|
2005-11-20 10:49:00 +01:00
|
|
|
|
class="directory">/etc/shorewall/policy</filename></ulink>.</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
</listitem>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
2004-05-09 00:31:54 +02:00
|
|
|
|
<listitem>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Vous d<>finissez les exceptions <20> ces politiques pas d<>faut dans
|
|
|
|
|
le fichier <ulink
|
|
|
|
|
url="Documentation.htm#Rules"><filename>/etc/shorewall/rules</filename></ulink>.</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
</listitem>
|
|
|
|
|
</itemizedlist>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Pour chaque connexion demandant <20> entrer dans le firewall, la
|
|
|
|
|
requ<71>te est en premier lieu v<>rifi<66>e par rapport au contenu du fichier
|
|
|
|
|
<filename class="directory">/etc/shorewall/rules</filename>. Si aucune
|
|
|
|
|
r<>gle dans ce fichier ne correspond <20> la demande de connexion alors la
|
|
|
|
|
premi<6D>re politique dans le fichier
|
|
|
|
|
<filename>/etc/shorewall/policy</filename> qui y correspond sera
|
|
|
|
|
appliqu<71>e. S'il y a une <ulink
|
|
|
|
|
url="shorewall_extension_scripts.htm">action commune</ulink> d<>finie pour
|
2005-11-20 10:49:00 +01:00
|
|
|
|
cette politique dans <filename>/etc/shorewall/actions</filename> ou dans
|
|
|
|
|
<filename>/usr/share/shorewall/actions.std</filename> cette action commune
|
2006-11-28 22:38:26 +01:00
|
|
|
|
sera ex<65>cut<75>e avant que la politique ne soit appliqu<71>e. Le but de l'action
|
|
|
|
|
commune est double:</para>
|
|
|
|
|
|
|
|
|
|
<itemizedlist>
|
|
|
|
|
<listitem>
|
|
|
|
|
<para>Elle ignore (DROP) ou rejete (REJECT) silencieusement le traffic
|
|
|
|
|
courant qui n'est pas dangeureux qui sans cela encombrerait votre
|
|
|
|
|
fichier journal - les messages de broadcast, par exemple.</para>
|
|
|
|
|
</listitem>
|
|
|
|
|
|
|
|
|
|
<listitem>
|
|
|
|
|
<para>Elle garantit que le traffic n<>cessaire <20> un fonctionnement
|
|
|
|
|
normal est autoris<69> <20> traverser le firewall — ICMP
|
|
|
|
|
<emphasis>fragmentation-needed</emphasis> par exemple</para>
|
|
|
|
|
</listitem>
|
|
|
|
|
</itemizedlist>
|
2005-11-20 10:49:00 +01:00
|
|
|
|
|
|
|
|
|
<para>Le fichier <filename>/etc/shorewall/policy</filename> inclus dans
|
|
|
|
|
l'archive d'exemple (one-interface) contient les politiques
|
|
|
|
|
suivantes:</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
|
|
|
|
<programlisting>#SOURCE ZONE DESTINATION ZONE POLICY LOG LEVEL LIMIT:BURST
|
2005-11-20 10:49:00 +01:00
|
|
|
|
$FW net ACCEPT
|
2004-05-09 00:31:54 +02:00
|
|
|
|
net all DROP info
|
|
|
|
|
all all REJECT info</programlisting>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
|
|
|
|
<para>Ces politiques vont :</para>
|
|
|
|
|
|
|
|
|
|
<orderedlist>
|
|
|
|
|
<listitem>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Autoriser (ACCEPT) toute demande de connexion depuis le firewall
|
|
|
|
|
vers internet</para>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
</listitem>
|
|
|
|
|
|
|
|
|
|
<listitem>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Ignorer (DROP) toutes les demandes de connexion depuis internet
|
|
|
|
|
vers votre firewall</para>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
</listitem>
|
|
|
|
|
|
|
|
|
|
<listitem>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Rejeter (REJECT) toutes les autres requ<71>tes de connexion.
|
|
|
|
|
Shorewall <20> toujours besoin de cette derni<6E>re politique.</para>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
</listitem>
|
|
|
|
|
</orderedlist>
|
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para><inlinegraphic fileref="images/BD21298_.gif" /> A ce point, <20>ditez
|
2005-11-20 10:49:00 +01:00
|
|
|
|
votre <filename>/etc/shorewall/policy</filename> et faites y les
|
2005-12-19 19:38:16 +01:00
|
|
|
|
changements que vous d<>sirez.</para>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
</section>
|
|
|
|
|
|
|
|
|
|
<section>
|
|
|
|
|
<title>Interface Externe</title>
|
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Le firewall poss<73>de une seule interface r<>seau. Lorsque la connexion
|
|
|
|
|
internet passe par un "modem" c<>ble ou
|
|
|
|
|
<acronym><acronym>ADSL</acronym></acronym>, l'<emphasis>Interface
|
2006-02-26 18:18:04 +01:00
|
|
|
|
Externe</emphasis> sera l'adaptateur ethernet qui est connect<63> <20> ce
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<quote>Modem</quote> (par exemple <filename
|
2005-11-20 10:49:00 +01:00
|
|
|
|
class="devicefile">eth0</filename>). Par contre, si vous vous connectez
|
2005-12-19 19:38:16 +01:00
|
|
|
|
par <emphasis role="bold"><acronym>PPPoE</acronym></emphasis>
|
|
|
|
|
(<emphasis>Point-to-Point Protocol</emphasis> over Ethernet) ou par
|
|
|
|
|
<emphasis role="bold"><acronym>PPTP</acronym></emphasis>
|
|
|
|
|
<emphasis>(Point-to-Point Tunneling Protocol), </emphasis>l'interface
|
|
|
|
|
externe sera une interface ppp (par exemple <filename
|
|
|
|
|
class="devicefile">ppp0</filename>). Si vous vous connectez par un simple
|
|
|
|
|
modem <acronym><acronym>RTC</acronym></acronym>, votre interface externe
|
|
|
|
|
sera aussi <filename class="devicefile">ppp0</filename>. Si vous vous
|
|
|
|
|
connectez en utilisant l'<acronym><acronym>ISDN</acronym></acronym>, votre
|
2005-01-22 16:18:06 +01:00
|
|
|
|
interface externe sera <filename
|
|
|
|
|
class="devicefile">ippp0</filename>.</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
|
|
|
|
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
|
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Les fichiers de configuration d'exemple pour le firewall monoposte
|
2005-11-20 10:49:00 +01:00
|
|
|
|
(one-interface) supposent que votre interface externe est <filename
|
2005-12-19 19:38:16 +01:00
|
|
|
|
class="devicefile">eth0</filename>. Si votre configuration est diff<66>rente,
|
2005-11-20 10:49:00 +01:00
|
|
|
|
vous devrez modifier le
|
2005-12-19 19:38:16 +01:00
|
|
|
|
fichier<filename>/etc/shorewall/interfaces</filename> en cons<6E>quence. Tant
|
|
|
|
|
que vous y <20>tes, vous pourriez parcourir la liste des options qui sont
|
|
|
|
|
sp<73>cifi<66>es pour les interfaces. Quelques astuces:</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
|
|
|
|
<tip>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Si votre interface vers l'ext<78>rieur est <emphasis
|
2005-11-20 10:49:00 +01:00
|
|
|
|
role="bold"><filename class="devicefile">ppp0</filename></emphasis>
|
|
|
|
|
ou<emphasis role="bold"> <filename
|
|
|
|
|
class="devicefile">ippp0</filename></emphasis>, vous pouvez remplacer le
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<quote>detect</quote> dans la seconde colonne par un <quote>-</quote>
|
|
|
|
|
(sans guillemets).</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
</tip>
|
|
|
|
|
|
|
|
|
|
<tip>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Si votre interface vers l'ext<78>rieur est <emphasis
|
2005-11-20 10:49:00 +01:00
|
|
|
|
role="bold"><filename class="devicefile">ppp0</filename></emphasis> or
|
|
|
|
|
<emphasis role="bold"><filename
|
|
|
|
|
class="devicefile">ippp0</filename></emphasis> ou si vous avez une
|
|
|
|
|
adresse <acronym>IP</acronym> statique, vous pouvez enlever
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<quote>dhcp</quote> de la liste des options .</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
</tip>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
</section>
|
|
|
|
|
|
|
|
|
|
<section>
|
2005-11-20 10:49:00 +01:00
|
|
|
|
<title>Adresses IP</title>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
2005-01-22 16:18:06 +01:00
|
|
|
|
<para>Avant d'aller plus loin, nous devons dire quelques mots au sujet des
|
2005-12-19 19:38:16 +01:00
|
|
|
|
adresses IP. Normalement, votre Fournisseur d' Acc<63>s Internet
|
|
|
|
|
(<acronym>FAI</acronym>) ne vous allouera qu'une seule adresse IP. Cette
|
|
|
|
|
adresse peut vous <20>tre allou<6F>e par <acronym>DHCP</acronym> (Dynamic Host
|
|
|
|
|
Configuration Protocol), lors de l'<27>tablissement de votre connexion (modem
|
|
|
|
|
standard) ou bien lorsque vous <20>tablissez un autre type de connexion
|
|
|
|
|
<acronym>PPP</acronym> (<acronym>PPPoA</acronym>,
|
|
|
|
|
<acronym>PPPoE</acronym>, etc.). Dans certains cas , votre fournisseur
|
|
|
|
|
peut vous allouer une adresse statique IP. Dans ce cas vous devez
|
|
|
|
|
configurer l'interface externe de votre firewall afin d'utiliser cette
|
|
|
|
|
adresse de mani<6E>re permanente.</para>
|
|
|
|
|
|
|
|
|
|
<para>La RFC 1918 r<>serve des plages d'adresses IP pour utilisation dans
|
|
|
|
|
les r<>seau priv<69>s:</para>
|
2005-11-20 10:49:00 +01:00
|
|
|
|
|
|
|
|
|
<programlisting>10.0.0.0 - 10.255.255.255
|
|
|
|
|
172.16.0.0 - 172.31.255.255
|
|
|
|
|
192.168.0.0 - 192.168.255.255</programlisting>
|
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Ces adresses sont parfois nomm<6D>es <emphasis>non-routables</emphasis>
|
|
|
|
|
car les routeurs centraux d'internet ne transf<73>rent pas un paquet dont la
|
|
|
|
|
destination est une adresse r<>serv<72>e par la RFC 1918. Dans certain cas
|
|
|
|
|
cependant, les <acronym>FAI</acronym> (fournisseurs d'acc<63>s Internet)
|
|
|
|
|
peuvent vous affecter une de ces adresses et utiliser la Traduction
|
|
|
|
|
d'Adresses R<>seau (<acronym>NAT</acronym> <emphasis>Network Address
|
|
|
|
|
Translation</emphasis>) pour r<><72>crire les en-t<>tes des paquets transmis en
|
|
|
|
|
provenance ou <20> destination d'internet.</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
|
|
|
|
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
|
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Avant de lancer Shorewall, <emphasis role="bold">il faut
|
|
|
|
|
imp<6D>rativement regarder l'adresse IP de votre interface externe, et, si
|
|
|
|
|
elle est dans l'une des plages pr<70>c<EFBFBD>dentes, vous devez enlever l'option
|
|
|
|
|
"norfc1918" dans la ligne concernant l'interface externe dans le fichier
|
|
|
|
|
<filename><filename
|
2005-11-20 10:49:00 +01:00
|
|
|
|
class="directory">/etc/shorewall/</filename><filename>interfaces</filename></filename></emphasis>.</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
</section>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
2004-05-09 00:31:54 +02:00
|
|
|
|
<section>
|
2005-01-22 16:18:06 +01:00
|
|
|
|
<title>Permettre d'autres connexions</title>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Shorewall inclue une collection de <ulink url="???">macros</ulink>
|
|
|
|
|
qui peuvent <20>tre utilis<69>es pour rapidement autoriser ou refuser des
|
|
|
|
|
services. Vous pouvez trouver une liste des macros comprises dans votre
|
|
|
|
|
version de Shorewall en utilisant la commande <command>ls
|
|
|
|
|
<filename>/usr/share/shorewall/macro.*</filename></command> ou bien la
|
|
|
|
|
commande <command>shorewall show macros</command> si vous utilisez une
|
|
|
|
|
version 3.0.3 ou ult<6C>rieure de shorewall.</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Si vous souhaitez autoriser des connexions depuis internet vers
|
|
|
|
|
votre firewall et que vous avez trouv<75> une macro appropri<72>e dans
|
2005-11-20 10:49:00 +01:00
|
|
|
|
<filename><filename>/etc/shorewall/macro.*</filename></filename>, le
|
2005-12-19 19:38:16 +01:00
|
|
|
|
format g<>n<EFBFBD>ral d'une r<>gle dans <filename>/etc/shorewall/rules</filename>
|
2005-11-20 10:49:00 +01:00
|
|
|
|
est le suivant:</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
2005-11-20 10:49:00 +01:00
|
|
|
|
<programlisting>#ACTION SOURCE DESTINATION PROTO DEST PORT(S)
|
|
|
|
|
<<emphasis>macro</emphasis>>/ACCEPT net $FW</programlisting>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
2006-02-26 18:18:04 +01:00
|
|
|
|
<important>
|
|
|
|
|
<para>Assurez-vous d'ajouter vos r<>gles apr<70>s la ligne contenant
|
|
|
|
|
<emphasis role="bold">SECTION NEW.</emphasis></para>
|
|
|
|
|
</important>
|
|
|
|
|
|
2004-05-09 00:31:54 +02:00
|
|
|
|
<example>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<title>Un serveur Web et un serveur IMAP sur votre firewall, accessibles
|
|
|
|
|
depuis l'ext<78>rieur:</title>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
2005-11-20 10:49:00 +01:00
|
|
|
|
<programlisting>#ACTION SOURCE DESTINATION PROTO DEST PORT(S)
|
|
|
|
|
Web/ACCEPT net $FW
|
|
|
|
|
IMAP/ACCEPT net $FW</programlisting>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
</example>
|
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Vous pouvez aussi choisir de coder vos r<>gles directement, sans
|
|
|
|
|
utiliser de macro pr<70>-d<>finie. Ceci sera n<>cessaire quand aucune macro
|
|
|
|
|
pr<70>-d<>finie ne r<>pond <20> vos besoins. Dans ce cas, le format g<>n<EFBFBD>ral d'une
|
|
|
|
|
r<>gle dans <filename>/etc/shorewall/rules</filename> est:</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
|
|
|
|
<programlisting>#ACTION SOURCE DESTINATION PROTO DEST PORT(S)
|
2005-11-20 10:49:00 +01:00
|
|
|
|
ACCEPT net $FW <emphasis><protocol></emphasis> <emphasis><port></emphasis></programlisting>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
|
|
|
|
<example>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<title>Un serveur Web et un serveur IMAP sur votre firewall, accessibles
|
|
|
|
|
depuis l'ext<78>rieur:</title>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
|
|
|
|
<para><programlisting>#ACTION SOURCE DESTINATION PROTO DEST PORT(S)
|
2005-11-20 10:49:00 +01:00
|
|
|
|
ACCEPT net $FW tcp 80
|
|
|
|
|
ACCEPT net $FW tcp 143</programlisting></para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
</example>
|
|
|
|
|
|
2005-11-20 10:49:00 +01:00
|
|
|
|
<para>Si vous ne savez pas quel port ou protocole utilise une application
|
2005-12-19 19:38:16 +01:00
|
|
|
|
donn<6E>e, allez voir <ulink url="ports.htm">ici</ulink>.</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
|
|
|
|
<important>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Je ne recommande pas d'activer <command>telnet</command>
|
|
|
|
|
depuis/vers internet car il utilise du texte en clair (y compris pour le
|
|
|
|
|
login !). Si vous voulez un acc<63>s shell <20> votre firewall, utilisez
|
|
|
|
|
SSH:</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
2005-11-20 10:49:00 +01:00
|
|
|
|
<programlisting>#ACTION SOURCE DESTINATION PROTO DEST PORT(S)
|
|
|
|
|
SSH/ACCEPT net $FW </programlisting>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
</important>
|
|
|
|
|
|
|
|
|
|
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
|
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Maintenant, <20>ditez votre fichier de configuration <filename
|
2004-05-09 00:31:54 +02:00
|
|
|
|
class="directory">/etc/shorewall/</filename><filename>rules</filename>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
pour ajouter, modifier ou supprimer d'autres connexions suivant vos
|
|
|
|
|
besoins.</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
</section>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
2004-05-09 00:31:54 +02:00
|
|
|
|
<section>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<title>D<EFBFBD>marrer et Arr<72>ter Votre Firewall</title>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
2004-05-09 00:31:54 +02:00
|
|
|
|
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
2006-04-26 17:48:46 +02:00
|
|
|
|
<para>La <ulink url="Install_fr.html">proc<EFBFBD>dure d'installation</ulink>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
configure votre syst<73>me pour lancer Shorewall d<>s le boot du syst<73>me, mais
|
|
|
|
|
le lancement est d<>sactiv<69>, de fa<66>on <20> ce que votre syst<73>me ne tente pas
|
|
|
|
|
de lancer Shorewall avant que la configuration ne soit termin<69>e. Une fois
|
|
|
|
|
que vous en avez fini avec la configuration du firewall, vous devez <20>diter
|
2005-12-03 14:26:46 +01:00
|
|
|
|
/etc/shorewall/shorewall.conf et y mettre STARTUP_ENABLED=Yes.</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
|
|
|
|
<important>
|
2005-11-20 10:49:00 +01:00
|
|
|
|
<para><emphasis role="bold">Les utilisateurs des paquets .deb doivent
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<20>diter <filename>/etc/default/shorewall</filename> et mettre
|
2005-11-20 10:49:00 +01:00
|
|
|
|
<varname>startup=1</varname></emphasis>.</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
</important>
|
|
|
|
|
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<important>
|
|
|
|
|
<para><emphasis role="bold">Vous devez activer le lancement de Shorewall
|
|
|
|
|
en <20>ditant <filename>/etc/shorewall/shorewall.conf</filename> et en y
|
|
|
|
|
mettant <command>STARTUP_ENABLED=Yes</command>.</emphasis></para>
|
|
|
|
|
</important>
|
|
|
|
|
|
|
|
|
|
<para>Le firewall est activ<69> en utilisant la commande
|
|
|
|
|
<quote><command>shorewall start</command></quote> et arr<72>t<EFBFBD> avec la
|
2005-11-20 10:49:00 +01:00
|
|
|
|
commande <quote><command>shorewall stop</command></quote>. Lorsque le
|
2005-12-19 19:38:16 +01:00
|
|
|
|
firewall est arr<72>t<EFBFBD>, le routage est autoris<69> sur les h<>tes qui poss<73>dent
|
|
|
|
|
une entr<74>e dans <filename class="directory"><ulink
|
2005-11-20 10:49:00 +01:00
|
|
|
|
url="Documentation.htm#Routestopped">/etc/shorewall/routestopped</ulink></filename>.
|
2005-12-19 19:38:16 +01:00
|
|
|
|
Un firewall qui tourne peut <20>tre relanc<6E> en utilisant la commande
|
2005-11-20 10:49:00 +01:00
|
|
|
|
<quote><command>shorewall restart</command></quote>. Si vous voulez
|
2005-12-19 19:38:16 +01:00
|
|
|
|
enlever toute trace de Shorewall sur votre configuration de Netfilter,
|
|
|
|
|
utilisez <quote><emphasis role="bold">shorewall
|
|
|
|
|
clear</emphasis></quote></para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
|
|
|
|
|
<warning>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<para>Si vous <20>tes connect<63> <20> votre firewall depuis internet, n'essayez
|
|
|
|
|
pas d'ex<65>cuter une commande <quote><command>shorewall
|
|
|
|
|
stop</command></quote> tant que vous n'avez pas ajout<75> une entr<74>e dans
|
|
|
|
|
<filename><filename
|
|
|
|
|
class="directory">/etc/shorewall/</filename><filename>routestopped</filename></filename>
|
|
|
|
|
pour l'adresse IP <20> partir de laquelle vous <20>tes connect<63> . De la m<>me
|
|
|
|
|
mani<6E>re, je vous d<>conseille d'utiliser <quote><command>shorewall
|
|
|
|
|
restart</command></quote>; il est plus int<6E>ressant de cr<63>er <ulink
|
2005-01-22 16:18:06 +01:00
|
|
|
|
url="configuration_file_basics.htm#Configs">une configuration
|
2005-12-19 19:38:16 +01:00
|
|
|
|
alternative</ulink> et de la tester en utilisant la commande
|
|
|
|
|
<quote><ulink url="starting_and_stopping_shorewall.htm">shorewall
|
|
|
|
|
try</ulink></quote></para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
</warning>
|
|
|
|
|
</section>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
2006-02-26 18:18:04 +01:00
|
|
|
|
<section>
|
|
|
|
|
<title>Si cela ne marche pas</title>
|
|
|
|
|
|
|
|
|
|
<itemizedlist>
|
|
|
|
|
<listitem>
|
|
|
|
|
<para>V<EFBFBD>rifiez <20> nouveau chacun des points rep<65>r<EFBFBD>s par un fl<66>che
|
|
|
|
|
rouge.</para>
|
|
|
|
|
</listitem>
|
|
|
|
|
|
|
|
|
|
<listitem>
|
|
|
|
|
<para>V<EFBFBD>rifiez vos <ulink
|
|
|
|
|
url="shorewall_logging.html">journaux</ulink>.</para>
|
|
|
|
|
</listitem>
|
|
|
|
|
|
|
|
|
|
<listitem>
|
|
|
|
|
<para>V<EFBFBD>rifiez le <ulink url="troubleshoot.htm">Troubleshooting
|
|
|
|
|
Guide</ulink>.</para>
|
|
|
|
|
</listitem>
|
|
|
|
|
|
|
|
|
|
<listitem>
|
2006-07-10 11:25:10 +02:00
|
|
|
|
<para>V<EFBFBD>rifiez la <ulink url="FAQ_fr.html">FAQ</ulink>.</para>
|
2006-02-26 18:18:04 +01:00
|
|
|
|
</listitem>
|
|
|
|
|
</itemizedlist>
|
|
|
|
|
</section>
|
|
|
|
|
|
2004-05-09 00:31:54 +02:00
|
|
|
|
<section>
|
2005-12-19 19:38:16 +01:00
|
|
|
|
<title>Autres Lectures Recommand<6E>es</title>
|
2004-02-14 19:06:39 +01:00
|
|
|
|
|
2004-05-09 00:31:54 +02:00
|
|
|
|
<para>Je vous recommande vivement de lire la <ulink
|
2005-12-19 19:38:16 +01:00
|
|
|
|
url="configuration_file_basics.htm">page des fonctionnalit<69>s g<>n<EFBFBD>rales des
|
|
|
|
|
fichiers de configuration</ulink> -- elle contient des astuces sur des
|
|
|
|
|
possibilit<69>s de Shorewall qui peuvent rendre plus ais<69>e l'administration
|
|
|
|
|
de votre firewall Shorewall.</para>
|
2004-05-09 00:31:54 +02:00
|
|
|
|
</section>
|
2006-11-28 22:38:26 +01:00
|
|
|
|
</article>
|