shorewall_code/STABLE/documentation/standalone_fr.html

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
           
  <meta http-equiv="Content-Language" content="en-us">
           
  <meta name="GENERATOR" content="Microsoft FrontPage 5.0">
           
  <meta name="ProgId" content="FrontPage.Editor.Document">
           
  <meta http-equiv="Content-Type"
 content="text/html; charset=windows-1252">
  <title>Standalone Firewall</title>
</head>
  <body>
     
<table border="0" cellpadding="0" cellspacing="0"
 style="border-collapse: collapse;" bordercolor="#111111" width="100%"
 id="AutoNumber6" bgcolor="#3366ff" height="90">
     <tbody>
       <tr>
         <td width="100%">                     
      <h1 align="center"><font color="#ffffff">Standalone Firewall</font></h1>
         </td>
       </tr>
           
  </tbody>   
</table>
     
<h2 align="center">Version 2.0.1 Fran<61>aise</h2>
     
<p align="left"><small><i><u>Notes du traducteur</u> :<br>
   Je ne pr<70>tends pas <20>tre un vrai traducteur dans le sens ou mon travail 
n'est pas des plus pr<70>cis (loin de l<>...). Je ne me suis pas attach<63> <20> une 
traduction exacte du texte, mais plut<75>t <20> en faire une version fran<61>aise intelligible
par tous (et par moi). Les termes techniques sont la plupart du temps conserv<72>s
sous leur forme originale et mis entre parenth<74>ses car vous pouvez les retrouver
dans le reste des documentations ainsi que dans les fichiers de configuration.
N?h<>sitez pas <20> me contacter afin d?am<61>liorer ce document <a
 href="mailto:vetsel.patrice@wanadoo.fr">VETSEL Patrice</a> (merci <20> JMM
pour sa relecture et ses commentaires pertinents, ainsi qu'<27> Tom EASTEP pour
son formidable outil et sa disponibilit<69>)</i><i>.</i></small></p>
     
<p align="left">Mettre en place un syst<73>me Linux en tant que firewall (<28>cluse)
 pour un petit r<>seau est une chose assez simple, si vous comprenez les bases
 et suivez la documentation.</p>
     
<p>Ce guide ne veut pas vous apprendre tous les rouages de Shorewall. Il
se focalise sur ce qui est n<>cessaire pour configurer Shorewall, dans son
utilisation la plus courante :</p>
     
<ul>
     <li>Un syst<73>me Linux</li>
     <li>Une seule adresse IP externe</li>
     <li>Une connexion passant par un modem c<>ble, ADSL, ISDN, Frame Relay,
 rtc...</li>
     
</ul>
     
<p>Ce guide suppose que vous avez le paquet iproute/iproute2 d'install<6C>.
Vous pouvez voir si le paquet est install<6C> en v<>rifiant la pr<70>sence du programme
 ip sur votre syst<73>me de firewall. Sous root, utilisez la commande 'which'
 pour rechercher le programme :</p>
     
<pre>     [root@gateway root]# which ip<br>     /sbin/ip<br>     [root@gateway root]#</pre>
     
<p>Je vous recommande dans un premier temps de parcourir tout le guide pour
 vous familiariser avec ce qu'il va se passer, et de revenir au d<>but en
effectuant  le changements dans votre configuration. Les points, o<> les changements
dans  la configuration sont recommand<6E>es, sont signal<61>s par une <img
 border="0" src="images/BD21298_.gif" width="13" height="13">
   .</p>
     
<p><img border="0" src="images/j0213519.gif" width="60" height="60">
   Si vous <20>ditez vos fichiers de configuration sur un syst<73>me Windows, vous 
 devez les sauver comme des fichiers Unix si votre <20>diteur supporte cette 
option sinon vous devez les faire passer par dos2unix avant d'essayer de les
utiliser. De la m<>me mani<6E>re, si vous copiez un fichier de configuration depuis
votre disque dur Windows vers une disquette, vous devez lancer dos2unix sur
la copie avant de l'utiliser avec Shorewall.</p>
     
<ul>
     <li><a href="http://www.simtel.net/pub/pd/51438.html">Windows Version 
 of    dos2unix</a></li>
     <li><a href="http://www.megaloman.com/%7Ehany/software/hd2u/">Linux
Version  of    dos2unix</a></li>
     
</ul>
     
<h2 align="left">Les Concepts de Shorewall</h2>
     
<p> <img border="0" src="images/BD21298_.gif" width="13" height="13"
 alt="">
   Les fichiers de configuration pour Shorewall sont situ<74>s dans le r<>pertoire
  /etc/shorewall -- pour de simples param<61>trages, vous n'avez <20> faire qu'avec
 quelques un d'entre eux comme d<>cris dans ce guide. Apr<70>s avoir <a
 href="Install.htm">install<6C> Shorewall</a>, <b>t<EFBFBD>l<EFBFBD>chargez le <a
 href="http://www1.shorewall.net/pub/shorewall/Samples/">one-interface  sample</a>, 
un-tarez le  (tar -zxvf one-interface.tgz) et copiez les fichiers vers /etc/shorewall 
 (Ils remplaceront les fichiers de m<>me nom d<>j<EFBFBD> existant dans /etc/shorewall 
install<EFBFBD>s lors de l'installation de Shorewall)</b>.</p>
     
<p>Parall<EFBFBD>lement <20> la description, je vous sugg<67>re de jeter un oeil <20> ceux
 physiquement pr<70>sents sur votre syst<73>me -- chacun des fichiers contient
des  instructions de configuration d<>taill<6C>es et des entr<74>es par d<>faut.</p>
     
<p>Shorewall voit le r<>seau o<> il tourne comme compos<6F> par un ensemble de
 <i>zones.</i> Dans les fichiers de configuration fournis pour une unique
interface, une seule zone est d<>finie :</p>
     
<table border="0" style="border-collapse: collapse;" cellpadding="3"
 cellspacing="0" id="AutoNumber2">
     <tbody>
       <tr>
         <td><u><b>Name</b></u></td>
         <td><u><b>Description</b></u></td>
       </tr>
       <tr>
         <td><b>net</b></td>
         <td><b>The Internet</b></td>
       </tr>
           
  </tbody>   
</table>
     
<p>Les zones de Shorewall sont d<>finies dans <a
 href="Documentation.htm#Zones"> /etc/shorewall/zones</a>.</p>
     
<p>Shorewall reconna<6E>t aussi le syst<73>me de firewall comme sa propre zone
- par d<>faut,    le firewall lui-m<>me est connu en tant que <b>fw</b>.</p>
     
<p>Les r<>gles concernant le trafic <20> autoriser ou <20> interdire sont exprim<69>es
 en utilisant les termes de zones.</p>
     
<ul>
     <li>Vous exprimez les politiques par d<>faut pour les connexions d'une 
zone <20> une autre dans le fichier<a href="Documentation.htm#Policy"> /etc/shorewall/policy
     </a>.</li>
     <li>Vous d<>finissez les exceptions <20> ces r<>gles de politiques par d<>faut
 dans le fichier <a href="Documentation.htm#Rules">/etc/shorewall/rules</a>.</li>
     
</ul>
     
<p>Pour chacune des demandes de connexion entrantes dans le firewall, les
 demandes sont en premier lieu compar<61>es par rapport au fichier /etc/shorewall/rules.
 Si aucune des r<>gles dans ce fichier ne correspondent, alors la premi<6D>re
politique dans /etc/shorewall/policy qui y correspond est appliqu<71>e. Si cette
politique est REJECT ou DROP la requ<71>te est alors compar<61>e par rapport aux
r<EFBFBD>gles contenues dans /etc/shorewall/common (l'archive d'exemple vous fournit
ce fichier).</p>
     
<p>Le fichier /etc/shorewall/policy d'exemple contenu dans l'archive one-interface
 a les politiques suivantes :</p>
     
<blockquote>         
  <table border="1" cellpadding="2" style="border-collapse: collapse;"
 id="AutoNumber3">
       <tbody>
         <tr>
           <td><u><b>SOURCE ZONE</b></u></td>
           <td><u><b>DESTINATION ZONE</b></u></td>
           <td><u><b>POLICY</b></u></td>
           <td><u><b>LOG LEVEL</b></u></td>
           <td><u><b>LIMIT:BURST</b></u></td>
         </tr>
         <tr>
           <td>fw</td>
           <td>net</td>
           <td>ACCEPT</td>
           <td> <br>
           </td>
           <td> <br>
           </td>
         </tr>
         <tr>
           <td>net</td>
           <td>all<br>
           </td>
           <td>DROP</td>
           <td>info</td>
           <td> <br>
           </td>
         </tr>
         <tr>
           <td>all</td>
           <td>all</td>
           <td>REJECT</td>
           <td>info</td>
           <td> <br>
           </td>
         </tr>
                 
    </tbody>         
  </table>
   </blockquote>
     
<pre>  </pre>
   Ces politiques vont :   
<ol>
     <li>permettre toutes demandes de connexion depuis le firewall vers l'Internet</li>
     <li>drop (ignorer) toutes les demandes de connexion depuis l'Internet 
vers votre  firewall</li>
     <li>rejeter toutes les autres requ<71>tes de connexion (Shorewall <20> besoin
 de cette politique).</li>
     
</ol>
     
<p>A ce point, <20>ditez votre /etc/shorewall/policy et faites y les changements
 que vous d<>sirez.</p>
     
<h2 align="left">Interface Externe</h2>
     
<p align="left">Le firewall poss<73>de une seule interface r<>seau. Lorsque la
 connexion Internet passe par un modem c<>ble ou par un routeur ADSL (pas
un  simple modem), l'<i>External Interface</i> (interface externe) sera l'adaptateur
 ethernet (<b>eth0</b>) qui y est connect<63> <u><EFBFBD> moins que</u> vous vous connectiez
 par <i><u>P</u>oint-to-<u>P</u>oint <u>P</u>rotocol over <u>E</u>thernet</i>
 (PPPoE) ou <i><u>P</u>oint-to-<u>P</u>oint <u>T</u>unneling<u>P</u>rotocol</i>(PPTP) 
 dans ce cas l'interface externe sera <b>ppp0</b>. Si vous vous connectez
 par un simple modem (RTC), votre interface externe sera aussi <b>ppp0</b>. 
 Si vous vous connectez en utilisant l'ISDN (num<75>ris), votre interface externe
 sera<b> ippp0.</b></p>
     
<p align="left"><img border="0" src="images/BD21298_3.gif" width="13"
 height="13">
   L'exemple de configuration de Shorewall pour une interface suppose que 
votre interface externe est <b>eth0</b>.  Si votre configuration est diff<66>rente,
 vous devrez modifier le fichier d'exemple /etc/shorewall/interfaces en cons<6E>quence.
  Puisque vous y <20>tes, vous pourriez parcourir la liste d'options qui sont
 sp<73>cifi<66>es pour l'interface. Quelques astuces :</p>
     
<ul>
     <li>               
    <p align="left">Si votre interface externe est <b>ppp0</b> ou <b>ippp0</b>, 
 vous pouvez remplacer le    "detect" dans la seconde colonne par un "-".
     </p>
     </li>
     <li>               
    <p align="left"> Si votre interface externe est <b>ppp0</b> ou <b>ippp0</b> 
 ou bien si vous avez une adresse IP statique, vous pouvez enlever le "dhcp"
 de la liste d'option. </p>
     </li>
     
</ul>
     
<div align="left">   
<h2 align="left">Adresse IP</h2>
   </div>
     
<div align="left">   
<p align="left">La RFC 1918 d<>finie plusieurs plage d'adresses IP priv<69>e
(<i>Private</i>IP) pour l'utilisation dans des r<>seaux priv<69>s :</p>
     
<div align="left">   
<pre>     10.0.0.0    - 10.255.255.255<br>     172.16.0.0  - 172.31.255.255<br>     192.168.0.0 - 192.168.255.255</pre>
   </div>
     
<p align="left">Ces adresses sont parfois d<>sign<67>es comme <20>tant <i>non-routables</i> 
 car les routeurs sur les backbones Internet ne font pas passer les paquets
 dont les adresses de destinations sont d<>finies dans la RFC 1918. Dans certains
 cas, les fournisseurs (provider ou ISP) utilisent ces adresses et utilisent
 le <i>Network Address Translation </i>afin de r<>crire les ent<6E>tes des paquets
 lorsqu'ils les font circuler depuis ou vers l'Internet.</p>
     
<p align="left"><img border="0" src="images/BD21298_.gif" align="left"
 width="13" height="13">
   Avant de lancer Shorewall, vous devriez regarder l'adresse de votre interface
 externe et si elle est comprise dans une des plages pr<70>c<EFBFBD>dentes, vous devriez
 enlever l'option 'norfc1918' dans le fichier /etc/shorewall/interfaces.</p>
   </div>
     
<div align="left">   
<h2 align="left">Permettre d'autres connexions</h2>
   </div>
     
<div align="left">   
<p align="left">Si vous d<>sirez autoriser d'autres connexions depuis l'Internet
 vers votre   firewall, le format g<>n<EFBFBD>ral est :</p>
   </div>
     
<div align="left">   
<blockquote>         
  <table border="1" cellpadding="2" style="border-collapse: collapse;"
 id="AutoNumber4">
       <tbody>
         <tr>
           <td><u><b>ACTION</b></u></td>
           <td><u><b>SOURCE</b></u></td>
           <td><u><b>DESTINATION</b></u></td>
           <td><u><b>PROTOCOL</b></u></td>
           <td><u><b>PORT</b></u></td>
           <td><u><b>SOURCE PORT</b></u></td>
           <td><u><b>ORIGINAL ADDRESS</b></u></td>
         </tr>
         <tr>
           <td>ACCEPT</td>
           <td>net</td>
           <td>fw</td>
           <td><i>&lt;protocol&gt;</i></td>
           <td><i>&lt;port&gt;</i></td>
           <td> <br>
           </td>
           <td> <br>
           </td>
         </tr>
                 
    </tbody>         
  </table>
   </blockquote>
   </div>
     
<div align="left">   
<p align="left">Exemple - Vous voulez faire tourner un serveur Web et un
serveur POP3 sur votre syst<73>me de firewall :</p>
   </div>
     
<div align="left">   
<blockquote>         
  <table border="1" cellpadding="2" style="border-collapse: collapse;"
 id="AutoNumber5">
       <tbody>
         <tr>
           <td><u><b>ACTION</b></u></td>
           <td><u><b>SOURCE</b></u></td>
           <td><u><b>DESTINATION</b></u></td>
           <td><u><b>PROTOCOL</b></u></td>
           <td><u><b>PORT</b></u></td>
           <td><u><b>SOURCE PORT</b></u></td>
           <td><u><b>ORIGINAL ADDRESS</b></u></td>
         </tr>
         <tr>
           <td>ACCEPT</td>
           <td>net</td>
           <td>fw</td>
           <td>tcp</td>
           <td>80</td>
           <td> <br>
           </td>
           <td> <br>
           </td>
         </tr>
         <tr>
           <td>ACCEPT</td>
           <td>net</td>
           <td>fw</td>
           <td>tcp</td>
           <td>110</td>
           <td> <br>
           </td>
           <td> <br>
           </td>
         </tr>
                 
    </tbody>         
  </table>
   </blockquote>
   </div>
     
<div align="left">   
<p align="left">Si vous ne savez pas quel port ou protocole une application
 particuli<6C>re utilise, regardez <a href="ports.htm">ici</a>.</p>
   </div>
     
<div align="left">   
<p align="left"><b>Important: </b>Je ne vous recommande pas d'autoriser le
 telnet depuis ou vers l'Internet car il utilise du texte en clair (m<>me
pour  le login et le mot de passe !). Si vous voulez avoir un acc<63>s au shell
de  votre firewall depuis Internet, utilisez SSH :</p>
   </div>
     
<div align="left">   
<blockquote>         
  <table border="1" cellpadding="2" style="border-collapse: collapse;"
 id="AutoNumber4">
       <tbody>
         <tr>
           <td><u><b>ACTION</b></u></td>
           <td><u><b>SOURCE</b></u></td>
           <td><u><b>DESTINATION</b></u></td>
           <td><u><b>PROTOCOL</b></u></td>
           <td><u><b>PORT</b></u></td>
           <td><u><b>SOURCE PORT</b></u></td>
           <td><u><b>ORIGINAL ADDRESS</b></u></td>
         </tr>
         <tr>
           <td>ACCEPT</td>
           <td>net</td>
           <td>fw</td>
           <td>tcp</td>
           <td>22</td>
           <td> <br>
           </td>
           <td> <br>
           </td>
         </tr>
                 
    </tbody>         
  </table>
   </blockquote>
   </div>
     
<div align="left">   
<pre>     ACCEPT	net	fw	tcp	22</pre>
   </div>
     
<div align="left">   
<p align="left"><img border="0" src="images/BD21298_3.gif" width="13"
 height="13">
   A ce point, <20>ditez    /etc/shorewall/rules pour rajouter les autres connexions
 d<>sir<69>es.</p>
   </div>
     
<div align="left">   
<h2 align="left">Lancer et Arr<72>ter son Firewall</h2>
   </div>
     
<div align="left">   
<p align="left"> <img border="0" src="images/BD21298_2.gif" width="13"
 height="13" alt="Arrow">
   La <a href="Install.htm">proc<EFBFBD>dure d'installation </a> configure votre 
syst<EFBFBD>me pour lancer Shorewall au boot du syst<73>me, mais au d<>but avec la version 
1.3.9 de Shorewall le lancement est d<>sactiv<69>, n'essayer pas de lancer Shorewall
 avec que la configuration soit finie. Une fois que vous en aurez fini avec
 la configuration du firewall, vous pouvez permettre le lancement de Shorewall
 en supprimant le fichier /etc/shorewall/startup_disabled.<br>
   </p>
     
<p align="left"><font color="#ff0000"><b>IMPORTANT</b>: Les utilisateurs
des paquets .deb doivent <20>diter /etc/default/shorewall et mettre 'startup=1'.</font><br>
   </p>
   </div>
     
<div align="left">   
<p align="left">Le firewall est activ<69> en utilisant la commande "shorewall
 start" et arr<72>t<EFBFBD> avec "shorewall stop". Lorsque le firewall est stopp<70>,
le  routage est autoris<69> sur les h<>tes qui poss<73>dent une entr<74>e dans <a
 href="Documentation.htm#Routestopped">/etc/shorewall/routestopped</a>. Un
 firewall qui tourne peut <20>tre relanc<6E> en utilisant la commande "shorewall
 restart".   Si vous voulez enlever toutes traces de Shorewall sur votre
configuration  de Netfilter, utilisez "shorewall clear".</p>
   </div>
     
<div align="left">   
<p align="left"><b>ATTENTION: </b>Si vous <20>tes connect<63> <20> votre firewall
depuis Internet, n'essayez pas une commande "shorewall stop" tant que vous
n'avez pas ajout<75> une entr<74>e pour votre adresse IP (celle <20> partir de laquelle
vous <20>tes connect<63>e) dans <a href="Documentation.htm#Routestopped">/etc/shorewall/routestopped</a>. 
  De la m<>me mani<6E>re, je ne vous recommande pas d'utiliser "shorewall restart";
 il est plus int<6E>ressant de cr<63>er une <i><a
 href="configuration_file_basics.htm#Configs">configuration alternative</a></i> 
 et de la tester en utilisant la commande <a
 href="starting_and_stopping_shorewall.htm">"shorewall  try"</a>.</p>
   </div>
     
<p align="left"><font size="2">Last updated 12/9/2002 - <a
 href="support.htm">Tom Eastep</a></font></p>
     
<p align="left"><a href="copyright.htm"><font size="2">Copyright  2002 Thomas
 M. Eastep</font></a></p>
   <br>
   <br>
   <br>
   <br>
   <br>
   <br>
   <br>
   <br>
  <br>
 <br>
</body>
</html>