diff --git a/Shorewall-docs2/standalone_fr.xml b/Shorewall-docs2/standalone_fr.xml index cd13cb1ec..b899ade7f 100644 --- a/Shorewall-docs2/standalone_fr.xml +++ b/Shorewall-docs2/standalone_fr.xml @@ -25,9 +25,15 @@ Demassieux + + + Guy + + Marcenac + - 2005-01-17 + 2005-11-19 2002-2005 @@ -37,6 +43,8 @@ Patrice Vetsel Fabien Demasieux + + Guy Marcenac @@ -53,14 +61,13 @@ Notes du traducteur : Le guide initial a été traduit par VETSEL Patrice que je - remercie. J'en ai assuré la révision pour l'adapter à la version 2 de - Shorewall. J'espère vous faciliter l'accès et la prise en main d'un - firewall performant, efficace, adaptable et facile d'utilisation. Donc - félicitations pour la qualité du travail et la disponibilité offerte par - Thomas M. Eastep. Si vous trouvez des erreurs ou des améliorations à - apporter vous pouvez me contacter Fabien Demassieux + url="mailto:vetsel.patrice@wanadoo.fr">VETSEL Patrice et la + révision pour la version 2 de Shorewall a été effectuée par Fabien Demassieux. J'ai assuré la + révision pour l'adapter à la version 3 de Shorewall et Thierry Boudet m'a + beaucoup aidé avec son regard de relecteur impitoyable. Si vous trouvez + des erreurs ou des améliorations à apporter vous pouvez me contacter + Guy Marcenac.
@@ -84,7 +91,9 @@ Une connexion passant par un modem câble, ADSL, ISDN, Frame - Relay, rtc... + Relay, rtc...ou bien une connexion à un réseau local (LAN) et vous + souhaitez simplement protéger votre système linux des autres systèmes + sur ce réseau local. @@ -108,9 +117,10 @@
Avant de commencer - Je recommande en premier la lecture complète du guide afin de se - familiariser avec les tenants et aboutissants puis de revenir sur les - modifications de votre configuration adapté à votre système. + Je recommande de commencer par une lecture complète du guide afin + de se familiariser avec les tenants et aboutissants, puis de recommencer + et seulement alors d'appliquer vos modifications de + configuration. Si vous éditez vos fichiers de configuration sur un système @@ -123,26 +133,21 @@ dos2unix sur la copie avant de l'utiliser avec Shorewall. - - - Windows - Version of dos2unix - + + Version + Windows de dos2unix - - Linux - Version of dos2unix - - + Version Linux de + dos2unix +
Conventions - Les points ou les modifications s'imposent sont indiqués par + Les points ou les modifications qui s'imposent sont indiqués par .
@@ -152,12 +157,12 @@ - Si vous êtes équipé d'un modem ADSL et utilisez - PPTP pour communiquer avec un serveur à travers ce - modem, vous devez faire le changement suivant en plus de ceux ci-dessous. - ADSL avec PPTP est commun en Europe, - ainsi qu'en Australie. + Si vous êtes équipé d'un modem ADSL et que vous + utilisez PPTP pour communiquer avec un serveur à + travers ce modem, vous devez faire les changements suivants en plus de ceux décrits + ci-dessous. ADSL avec PPTP est + commun en Europe, notamment en Autriche.
@@ -166,52 +171,86 @@ Les fichiers de configuration pour Shorewall sont situés dans le - répertoire /etc/shorewall -- pour de simples paramétrages, vous n'avez à - faire qu'avec quelques un d'entre eux comme décris dans ce guide. - Après avoir installé Shorewall, - téléchargez l'exemple - one-interface, décompressez le (tar - - one-interface.tgz) et copiez les - fichiers dans /etc/shorewall - (ces fichiers remplaceront les - initiaux). - Parallèlement à la présentation, je vous suggère de jeter un oeil - à ceux physiquement présents sur votre système -- chacun des fichiers - contient des instructions de configuration détaillées et des entrées par - défaut. + répertoire /etc/shorewall -- pour + de simples paramétrages, vous n'aurez à faire qu'à quelques un d'entre eux + comme décrit dans ce guide. Après avoir installé + Shorewall,vous pourrez trouver les exemples de la manière + suivante: + + + + Si vous avez intallé en utilisant un RPM, les exemples seront + dans le sous-répertoire Samples/one-interface/ du répertoire de + la documentation de Shorewall. Si vous ne savez pas où se trouve le + répertoire de la documentation de Shorewall, vous pouvez trouver les + exemples en utilisant cette commande: + + ~# rpm -ql shorewall | fgrep one-interface +/usr/share/doc/packages/shorewall/Samples/one-interface +/usr/share/doc/packages/shorewall/Samples/one-interface/interfaces +/usr/share/doc/packages/shorewall/Samples/one-interface/policy +/usr/share/doc/packages/shorewall/Samples/one-interface/rules +/usr/share/doc/packages/shorewall/Samples/one-interface/zones +~# + + + + Si vous avez installé depuis le tarball, les exemples sont + dans le repéertoire Samples/one-interface du + tarball. + + + + Si vous avez installé en utlisant un .deb, les exemples sont + dans + /usr/share/doc/shorewall/examples/one-interface. + + + Note aux utilisateurs de + Debian + + Si vous vous servez du .deb pour installer, vous vous rendrez + compte que votre répertoire /etc/shorewall est + vide. Ceci est voulu. Les squelettes des fichiers de configuration se + trouvent sur votre système dans le répertoire /usr/share/doc/shorewall/default-config. + Copiez simplement les fichiers dont vous avez besoin depuis ce + répertoire dans /etc/shorewall, + puis modifiez ces copies. + + Remarquez que vous devez copier + /usr/share/doc/shorewall/default-config/shorewall.conf et + /usr/share/doc/shorewall/default-config/modules + dans /etc/shorewall même + si vous ne modifiez pas ces fichiers. + + + Au fur et à mesure de la présentation de chaque fichier, je vous + suggère de jeter un oeil à ceux physiquement présents sur votre système -- + chacun des fichiers contient des instructions de configuration détaillées + et des entrées par défaut. Shorewall voit le réseau où il fonctionne, comme un ensemble de - zones.Dans les fichiers de configuration fournis pour une unique - interface, une seule zone est définie : + zones. Dans les fichiers de configuration fournis + dans l'archive d'exemples pour une unique interface (one-interface), deux + zones seulement sont définies : - - - - - Name + #ZONE TYPE OPTIONS IN OUT +# OPTIONS OPTIONS +fw firewall +net ipv4 - Description - - + Les zones de Shorewall sont définies dans /etc/shorewall/zones. - - - net - - The Internet - - - - - - Les zones de Shorewall sont définies dans /etc/shorewall/zones. - - Shorewall reconnaît aussi le système de firewall comme sa propre - zone - par défaut, le firewall est connu comme fw. + Remarquez que Shorewall reconnaît le système de firewall comme sa + propre zone. Le nom de la zone firewall (fw dans l'exemple plus haut) est stocké dans la + variable d'environnement $FW qui peut être utilisée + depuis l'ensemble des autres fichiers de configuration de Shorewall, pour + faire référence au firewall lui-même. Les règles concernant le trafic à autoriser ou à interdire sont exprimées en utilisant les termes de zones. @@ -221,36 +260,34 @@ Vous exprimez votre politique par défaut pour les connexions d'une zone vers une autre zone dans le fichier /etc/shorewall/policy. + class="directory">/etc/shorewall/policy. Vous définissez les exceptions à ces politiques pas défaut dans - le fichier /etc/shorewall/rules. + le fichier + /etc/shorewall/rules. Pour chaque connexion demandant à entrer dans le firewall, la - requête est en premier lieu comparée par rapport au fichier /etc/shorewall/rules. Si - aucune règle dans ce fichier ne correspond à la demande de connexion alors - la première politique dans le fichier /etc/shorewall/policy - qui y correspond sera appliquée. Si cette politique est - REJECT ou DROP la requête est dans - un premier temps comparée par rapport aux règles contenues dans le fichier - /etc/shorewall/common, - si ce fichier existe; sinon les régles dans le fichier /etc/shorewall/common.def - sont vérifiées. + requête est en premier lieu vérifiée par rapport au fichier /etc/shorewall/rules. Si aucune règle dans ce + fichier ne correspond à la demande de connexion alors la première + politique dans le fichier /etc/shorewall/policy qui y + correspond sera appliquée. S'il y a une action commune définie pour + cette politique dans /etc/shorewall/actions ou dans + /usr/share/shorewall/actions.std cette action commune + sera exécutée avant que l'action spécifiée dans + /etc/shorewall/rules ne soit appliquée. - Le fichier /etc/shorewall/policy inclus dans l'archive d'exemple - (one-interface) contient les politiques suivantes: + Le fichier /etc/shorewall/policy inclus dans + l'archive d'exemple (one-interface) contient les politiques + suivantes: #SOURCE ZONE DESTINATION ZONE POLICY LOG LEVEL LIMIT:BURST -fw net ACCEPT +$FW net ACCEPT net all DROP info all all REJECT info @@ -258,7 +295,7 @@ all all REJECT info - Permettre toutes demandes de connexion depuis le firewall vers + Permettre toute demande de connexion depuis le firewall vers l'Internet @@ -274,8 +311,8 @@ all all REJECT info A ce point, éditez - votre /etc/shorewall/policy et faites y les changements que vous - désirez. + votre /etc/shorewall/policy et faites y les + changements que vous désirez.
@@ -283,14 +320,14 @@ all all REJECT info Le firewall possède une seule interface réseau. Lorsque la connexion Internet passe par un modem câble ou par un - Routeur ADSL(pas un simple modem), + Routeur ADSL (pas un simple modem), l'Interface Externe sera l'adaptateur ethernet qui y est connecté à ce Modem (e.g., eth0) à moins de se que vous vous connectiez + class="devicefile">eth0). Par contre, si vous vous connectez par Point-to-Point Protocol over Ethernet - (PPPoE) ou Point-to-Point Tunneling - Protocol (PPTP) dans ce cas l'interface - externe sera (e.g., ppp0). Si vous + (PPPoE) ou par Point-to-Point Tunneling + Protocol (PPTP) l'interface externe sera une + interface ppp (e.g. ppp0). Si vous vous connectez par un simple modem (RTC), votre interface externe sera aussi ppp0. Si vous vous connectez en utilisant l'ISDN, votre @@ -299,175 +336,125 @@ all all REJECT info - Si votre interface vers l'extérieur est ppp0 ou ippp0 - alors vous mettrez CLAMPMSS=yes dans le fichier - /etc/shorewall/shorewall.conf. - - Le fichier de configuration d'exemple pour une interface suppose que - votre interface externe est eth0. Si votre configuration est différente, - vous devrez modifier le fichier/etc/shorewall/interfaces - en conséquence. Tant que vous y êtes, vous pourriez parcourir la liste des - options qui sont spécifiées pour les interfaces. Quelques trucs: + Les fichiers de configuration d'exemple pour une interface + (one-interface) supposent que votre interface externe est eth0. Si votre configuration est différente, + vous devrez modifier le + fichier/etc/shorewall/interfaces en conséquence. Tant + que vous y êtes, vous pourriez parcourir la liste des options qui sont + spécifiées pour les interfaces. Quelques trucs: - Si votre interface vers l'extérieur est ppp0 ou ippp0, vous pouvez remplacer le detect - dans la seconde colonne par un - (sans les + Si votre interface vers l'extérieur est ppp0 + ou ippp0, vous pouvez remplacer le + "detect" dans la seconde colonne par un - (sans les quotes). - Si votre interface vers l'extérieur est ppp0 or ippp0 u si vous avez une adresse - IP statique, vous pouvez enlever - dhcp dans la liste des options . - - - - Si vous spécifiez norfc1918 pour votre - interface externe, vous pouvez vérifier périodiquement le Shorewall Errata pour mettre à jour le fichier - /usr/share/shorewall/rfc1918. Sinon, vous pouvez - copier le fichier /usr/share/shorewall/rfc1918 vers - /etc/shorewall/rfc1918 et adapter votre fichier - /etc/shorewall/rfc1918 comme je le - fais. + Si votre interface vers l'extérieur est ppp0 or + ippp0 ou si vous avez une + adresse IP statique, vous pouvez enlever + "dhcp" de la liste des options .
- Adresse IP + Adresses IP Avant d'aller plus loin, nous devons dire quelques mots au sujet des - adresses Internet Protocol (IP). Normalement, votre - fournisseur Internet ISP vous assignera une seule - adresse IP. Cette adresse peut être assignée par le Dynamic Host - Configuration Protocol (DHCP) ou lors de - l'établissement de votre connexion lorsque vous vous connectez (modem - standard) ou établissez votre connexion PPP. Dans de - rares cas , votre provider peut vous assigner une adresse statique - IP ; cela signifie que vous devez configurer - l'interface externe de votre firewall afin d'utiliser cette adresse de - manière permanente. La RFC 1918 réserve - plusieures plages d'adresses privées Private - IP à cet fin: + adresses IP. Normalement, votre Fournisseur d' Accès Internet (FAI) vous + assignera une seule adresse IP. Cette adresse peut être assignée par le + Dynamic Host Configuration Protocol (DHCP), lors de l'établissement de + votre connexion lorsque vous vous connectez (modem standard) ou bien + lorsque vous établissez un autre type de connexion PPP (PPPoA, PPPoE, + etc.). Dans certains cas , votre fournisseur peut vous assigner une + adresse statique IP. Cela signifie que vous devez configurer l'interface + externe de votre firewall afin d'utiliser cette adresse de manière + permanente. - - Example sub-network + La RFC 1918 reserve des plages d'adresses IP privées pour + utilisation dans les réseau privés: - - + 10.0.0.0 - 10.255.255.255 +172.16.0.0 - 172.31.255.255 +192.168.0.0 - 192.168.255.255 - - - Range: - - 10.10.10.0 - - 10.10.10.255 - - - - Subnet Address: - - 10.10.10.0 - - - - Broadcast Address: - - 10.10.10.255 - - - - CIDR Notation: - - 10.10.10.0/24 - - - -
- - Ces adresses sont parfois nommées comme - non-routable car les routers centraux d'Internet ne - renvoient pas un paquet dont la destination est reservée par la RFC 1918. - Dans certain cas cependant, les FAI (fournisseurs d'accès Internet) - assignent ces adresses et utilisent ensuite NAT Network Address - Translation pour réécrire les en-têtes de paquets renvoyés + Ces adresses sont parfois nommées non-routables + car les routers centraux d'Internet ne renvoient pas un paquet dont la + destination est reservée par la RFC 1918. Dans certain cas cependant, les + FAI (fournisseurs d'accès Internet) peuvent assigner ces adresses et + utiliser la Traduction d'Adresses Réseau (NAT Network Address + Translation) pour réécrire les en-têtes des paquets transmis vers/depuis Internet. - Avant de lancer Shorewall, regarder l'adresse IP de votre interface - externe, et si elle est dans les plages précédentes, vous devez enlever - l'option 'norfc1918' dans la ligne concernant l'interface externe dans le - fichier /etc/shorewall/interfaces. + Avant de lancer Shorewall, il faut regarder + l'adresse IP de votre interface externe, et, si elle est dans les plages + précédentes, vous devez enlever l'option "norfc1918" dans la ligne + concernant l'interface externe dans le fichier /etc/shorewall/interfaces.
Permettre d'autres connexions - Shorewall version 2.0.0 et postérieure inclus une collection - d'actions qui peuvent être utilisées pour rapidemement autoriser ou - refuser des services. Pour voir les actions comprises avec votre version - de Shorewall, regardez dans le fichier - /etc/shorewall/actions.std. Le nom de celles qui - acceptent des connexions débutent par Allow. + Shorewall inclue une collection de macros qui peuvent être utilisées + pour rapidemement autoriser ou refuser des services. Vous pouvez trouver + une liste des macros comprises dans votre version de Shorewall en + utilisant la commande ls + /usr/share/shorewall/macro.*. - Si vous souhaitez autoriser d'autre connexions depuis internet vers - votre firewall, le format général utilisant l'action type - Allow est: + Si vous souhaitez autoriser des connections depuis internet vers + votre firewall et que vous avez trouvé une macro appropriée dans + /etc/shorewall/macro.*, le + format général d'une règle dans /etc/shorewall/rules + est le suivant: - #ACTION SOURCE DESTINATION PROTO DEST PORT(S) -<action> net fw + #ACTION SOURCE DESTINATION PROTO DEST PORT(S) +<macro>/ACCEPT net $FW - Vous voulez un serveur Web et POP3 accessible de l'extérieur sur - votre firewall: + Vous voulez un serveur Web et un serveur IMAP sur votre firewall + accessibles depuis l'extérieur: - #ACTION SOURCE DESTINATION PROTO DEST PORT(S) -AllowWeb net fw -AllowPOP3 net fw + #ACTION SOURCE DESTINATION PROTO DEST PORT(S) +Web/ACCEPT net $FW +IMAP/ACCEPT net $FW - Au cas ou Shorewall n'inclue pas d'actions définies qui vous - conviennent, vous pouvez les définir vous même ou coder directement les - régles dans /etc/shorewall/rules selon le format - suivant: + Vous pouvez aussi choisir de coder vos règles directement, sans + utiliser de macro pré-définie. Ceci sera nécessaire quand aucune macro + pré-définie ne répondra à vos besoins. Dans ce cas, le format général + d'une règle dans /etc/shorewall/rules est: #ACTION SOURCE DESTINATION PROTO DEST PORT(S) -ACCEPT net fw <protocol> <port> +ACCEPT net $FW <protocol> <port> - Vous voulez un serveur Web et POP3 accessible de l'extérieur sur - votre firewall: + Vous voulez un serveur Web et un serveur IMAP sur votre firewall + accessibles depuis l'extérieur: #ACTION SOURCE DESTINATION PROTO DEST PORT(S) -ACCEPT net fw tcp 80 -ACCEPT net fw tcp 110 +ACCEPT net $FW tcp 80 +ACCEPT net $FW tcp 143 - Si vous ne savez pas quel port(s) et protocole(s) requièrent une - application particulière, vous pouvez regarder ici. + Si vous ne savez pas quel port ou protocole utilise une application + donnée, allez voir ici. - Je ne recommande pas d'autoriser telnet vers/de - l'Internet parce qu'il utilise du texte en clair (même pour le login!). - Si vous voulez un accès shell à votre firewall, utilisez - SSH: + Je ne recommande pas d'activer telnet depuis/vers internet car il + utilise du texte en clair (y compris pour le login!). Si vous voulez un + accès shell à votre firewall, utilisez SSH: - #ACTION SOURCE DEST PROTO DEST PORT(S) -AllowSSH net fw + #ACTION SOURCE DESTINATION PROTO DEST PORT(S) +SSH/ACCEPT net $FW @@ -483,46 +470,50 @@ AllowSSH net fw La procédure d'installation - configure votre système pour lancer Shorewall au boot du système, mais au - début avec la version 1.3.9 de Shorewall le lancement est désactivé, - n'essayer pas de lancer Shorewall avant que la configuration soit finie. - Une fois que vous en aurez fini avec la configuration du firewall, vous - pouvez permettre le lancement de Shorewall en supprimant le fichier - /etc/shorewall/startup_disabled. + configure votre système pour lancer Shorewall au boot du système, mais à + partir de la version 1.3.9 de Shorewall le lancement est désactivé, de + façon à ce que votre système ne tente pas de lancer Shorewall avant que la + configuration ne soit terminée. Une fois que vous en avez fini avec la + configuration de votre firewall, vous pouvez activer le lancement de + Shorewall en supprimant le fichier + /etc/shorewall/startup_disabled. - Les utilisateurs des paquets .deb doivent éditer /etc/default/shorewall - et mettre startup=1. + Les utilisateurs des paquets .deb doivent + éditer /etc/default/shorewall et mettre + startup=1. - Le firewall est activé en utilisant la commande - shorewall start et arrêté avec - shorewall stop. Lorsque le firewall est - stoppé, le routage est autorisé sur les hôtes qui possèdent une entrée - dans /etc/shorewall/routestopped. Un - firewall qui tourne peut être relancé en utilisant la commande - shorewall restart command. Si vous - voulez enlever toutes traces de Shorewall sur votre configuration de - Netfilter, utilisez shorewall - clear. + + Vous devez activer le lancement de + Shorewall en éditant + /etc/shorewall/shorewall.conf et en y mettant + STARTUP_ENABLED=Yes. + Le firewall est activé en utilisant la commande + shorewall start et arrêté avec la + commande shorewall stop. Lorsque le + firewall est arrêté, le routage est autorisé sur les hôtes qui possèdent + une entrée dans /etc/shorewall/routestopped. + Un firewall qui tourne peut être relancé en utilisant la commande + shorewall restart. Si vous voulez + enlever toutes traces de Shorewall sur votre configuration de Netfilter, + utilisez "shorewall clear" Si vous êtes connecté à votre firewall depuis Internet, n'essayez - pas une commande shorewall stop tant - que vous n'avez pas ajouté une entrée pour votre adresse - IP (celle à partir de laquelle vous êtes connectée) - dans /etc/shorewall/routestopped. + pas d'exécuter une commande shorewall + stop tant que vous n'avez pas ajouté une entrée pour + votre adresse IP (celle à partir de laquelle vous + êtes connecté) dans /etc/shorewall/routestopped. De la même manière, je ne vous recommande pas d'utiliser shorewall restart; il est plus intéressant de créer une configuration - alternative et de la tester en utilisant la commande - shorewall try. + alternative et de la tester en utilisant la commande "shorewall try"
@@ -532,7 +523,7 @@ AllowSSH net fw Je vous recommande vivement de lire la page des Fonctionnalités Générales des Fichiers de Configuration -- elle contient des trucs sur les - possibilités de Shorewall pour rendre aisé l'administration de votre + possibilités de Shorewall pour rendre plus aisée l'administration de votre firewall Shorewall.