diff --git a/docs-fr/FAQ_fr.xml b/docs-fr/FAQ_fr.xml
index 72ac3876c..325598706 100644
--- a/docs-fr/FAQ_fr.xml
+++ b/docs-fr/FAQ_fr.xml
@@ -93,6 +93,8 @@
(FAQ 37) Je viens d'installer Shorewall sur Debian et le
répertoire /etc/shorewall est vide!!!
+ Réponse:
+
Après avoir installé le paquetage .deb, avant de commencer à
configurer Shorewall, vous devriez prendre connaissance de ce conseil
@@ -142,7 +144,7 @@
-
+ Transfert de port (Redirection de Port)
@@ -237,8 +239,8 @@ DNAT net loc:<adresse IP locale>[:<
- En tant que root, tapez shorewall show
- nat
+ En tant que root, tapez shorewall[-lite]
+ show nat
@@ -251,8 +253,8 @@ DNAT net loc:<adresse IP locale>[:<Est-ce que le décompte de paquets dans la première colonne
est supérieur à zéro ? Si cela est le cas, la requête de connexion
atteint le firewall et est bien redirigée vers le serveur. Dans ce
- cas, le problème vient en général de l'absence de paramétrage ou
- d'un paramétrage erroné de la passerelle par défaut sur le système
+ cas, le problème vient en général de l'absence de paramètrage ou
+ d'un paramètrage erroné de la passerelle par défaut sur le système
local (celui vers lequel vous essayez de transférer les paquets --
sa passerelle par défaut devrait être l'adresse IP de l'interface
du firewall connectée à ce système local).
@@ -282,6 +284,20 @@ DNAT net loc:<adresse IP locale>[:<sniffer de paquets comme tcpdump ou
ethereal.
+
+
+ Si le nombre de paquets est différent de zéro, vérifiez
+ dans votre log si la connexion est droppée ou rejetée. Si
+ c'est le cas, il est possible que vous ayez un problème de
+ définition de zone qui fasse que le serveur soit dans une zone
+ différente de ce qui est spécifié dans la colonne DEST. A
+ l'invite root, tapez "shorewall[-lite] show
+ zones" et assurez-vous que vous avez bien spécifié
+ dan la colonne DEST la première zone de la liste qui
+ correspond à OUT=<dev> et DEST=<ip> dans le
+ message REJECT/DROP de votre fichier log.
+
@@ -292,7 +308,8 @@ DNAT net loc:<adresse IP locale>[:<
- Dan le fichier /etc/shorewall/rules:
+ Réponse:Dans le fichier
+ /etc/shorewall/rules:#ACTION SOURCE DEST PROTO DEST PORT
DNAT net loc:192.168.1.3:22 tcp 1022
@@ -357,9 +374,10 @@ DNAT loc dmz:192.168.2.4 tcp 80 - $ETH0
Réponse: avec l'aimable
autorisation de Ryan: en supposant que l'adresse de l'interface locale
- de votre firewall soit 192.168.1.1, en ajoutant la règle suivante, le
- port 4104 sera en écoute sur internet et le port 22 sera en écoute sur
- votre LAN.
+ de votre firewall soit 192.168.1.1, si vous configurez SSHD pour qu'il
+ n'écoute que sur cette interface et que vous ajoutez la règle
+ suivante, le port 4104 sera en écoute sur internet et le port 22 sera
+ en écoute sur votre LAN.
#ACTION SOURCE DEST PROTO DEST PORT(S)
DNAT net fw:192.168.1.1:22 tcp 4104
@@ -370,32 +388,35 @@ DNAT net fw:192.168.1.1:22 tcp 4104
(FAQ 30) Quand doit-on utiliser des règles DNAT et quand doit-on
utiliser des règles ACCEPT ?
- Je vous suggère de revenir au guides de démarrage rapide
- adapté à votre configuration. Ces guides couvrent ce sujet sous un angle
- didactique. Vous devriez utiliser des règles DNAT pour les connexions
- qui doivent aller dans le sens inverse de celles en provenance de la
- SNAT/Masquerade. Ainsi, si vous utilisez la SNAT ou Masquerade depuis
- votre réseau local vers internet, vous aurez besoin d'utiliser des
- règles DNAT pour autoriser les connexions d'internet vers votre réseau
- local. Si vous avez besoin d'intercepter des connexions lorsqu'elles
- arrivent sur le firewall et que vous voulez les traiter sur le firewall
- lui-même, vous utiliserez une règle REDIRECT.Dans tous les autres cas,
- vous utiliserez ACCEPT.
+ Réponse: Je vous suggère de
+ revenir au guides de
+ démarrage rapide adapté à votre configuration. Ces guides
+ couvrent ce sujet sous un angle didactique. Vous devriez utiliser des
+ règles DNAT pour les connexions qui doivent aller dans le sens inverse
+ de celles en provenance de la SNAT/Masquerade. Ainsi, si vous utilisez
+ la SNAT ou Masquerade depuis votre réseau local vers internet, vous
+ aurez besoin d'utiliser des règles DNAT pour autoriser les connexions
+ d'internet vers votre réseau local. Vous utiliserez également des règles
+ DNAT si vous voulez ré-écrire l'adresse IP ou le numéro de port
+ destination. Si vous avez besoin d'intercepter des connexions
+ lorsqu'elles arrivent sur le firewall et que vous voulez les traiter sur
+ le firewall lui-même, vous utiliserez une règle REDIRECT. Dans tous les
+ autres cas, vous utiliserez ACCEPT.(FAQ 38) Où trouver plus d'information sur la DNAT?
- Ian Allen a écrit cet article au sujet de la DNAT et Linux.
+ Réponse: Ian Allen a écrit cet
+ article au sujet de la DNAT
+ et Linux.(FAQ 48) Comment configurer un proxy transparent avec
Shorewall?
- Réponse: Vous pouvez voir Réponse: Vous pouvez voir Shorewall et Squid.
@@ -442,7 +463,9 @@ DNAT net fw:192.168.1.1:22 tcp 4104
le sous-réseau 192.168.1.0/24:tout le trafic redirigé par cette bidouille sera vu par le
serveur comme provenant du firewall (192.168.1.254) au lieu de venir
- du client d'origine!
+ du client d'origine! Ce qui fait que les logs d'accès du serveur
+ seront inutilisables pour déterminer quels hôtes locaux accèdent au
+ serveur.
@@ -601,6 +624,22 @@ DNAT loc dmz:192.168.2.4 tcp 80 - 206
#ACTION SOURCE DEST PROTO DEST PORT SOURCE ORIGINAL
# PORT DEST.
DNAT loc dmz:192.168.2.4 tcp 80 - $ETH0_IP
+
+
+ Avec des adresses IP dynamiques, vous n'utiliserez pas
+ shorewall[-lite] save ni
+ shorewall[-lite] restore.
+
+
+
+
+ (FAQ 2c) J'ai essayé d'appliquer la réponse à la FAQ 2 à mon
+ interface externe et à la zone net. Cela ne marche pas. Pourquoi
+ ?
+
+ Réponse: Avez-vous activé
+ IP_FORWARDING=On dans
+ shorewall.conf?
@@ -645,6 +684,55 @@ de deboguage de l'interface newnat.
Ports ouverts
+
+ (FAQ 51) Comment ouvrir des ports dans Shorewall?
+
+ Réponse: Aucune personne ayant
+ installé Shorewall en utilisant un des Guides de Démarrage Rapide
+ ne devrait avoir à poser cette question.
+
+ Quel que soit le guide que vous avez utilisé, toutes les
+ communications sortantes sont ouvertes par défaut. Vous n'avez donc pas
+ à "ouvrir de port" en sortie.
+
+ En entrée:
+
+
+
+ Si vous avez installé en utilisant le guide Firewall Monoposte
+ (une interface), relisez cette
+ section SVP.
+
+
+
+ Si vous avez utilisé le guide Firewall à deux interfaces pour
+ installer merci de relire ces sections: Transfert de ports (DNAT),
+ et Autres
+ connexions
+
+
+
+ Si vous avez utilisé le guide Firewall à trois interfaces pour
+ installer merci de relire ces sections: Transfert de ports (DNAT) et
+ Autres
+ Connexions
+
+
+
+ Si vous avez installé en utilisant le Guide de configuration
+ Shorewall vous feriez mieux de lire le guide à nouveau --
+ vous avez vraiment raté beaucoup de choses.
+
+
+
+ Voyez également la section
+ Transfert de Ports de cette FAQ.
+
+
(FAQ 4) Je viens juste d'utiliser un scanner de port en ligne
pour vérifier le paramètrage de mon firewall et certains ports
@@ -657,13 +745,14 @@ de deboguage de l'interface newnat.</programlisting></para>
DROP, et la politique par défaut d'internet vers toutes les zones est
DROP. L'action Drop est définie dans le fichier
<filename>/usr/share/shorewall/action.Drop</filename> qui invoque
- lui-même l'action <emphasis role="bold">RejectAuth</emphasis> (définie
- dans le fichier
- <filename>/usr/share/shorewall/action.RejectAuth</filename>). Cela est
- nécessaire pour éviter les problèmes de connexion sortante à des
- services qui utilisent le mécanisme <quote>Auth</quote> pour identifier
- les utilisateurs. C'est le seul service configuré par défaut pour
- rejeter (REJECT) les paquets.</para>
+ lui-même la macro <emphasis role="bold">Auth</emphasis> (définie dans le
+ fichier <filename>/usr/share/shorewall/macro.Auth</filename>) qui
+ spécifie l'action <emphasis role="bold">REJECT</emphasis> (c.a.d.,
+ <emphasis role="bold">Auth/REJECT</emphasis>). Cela est nécessaire pour
+ éviter les problèmes de connexion sortante à des services qui utilisent
+ le mécanisme <quote>Auth</quote> pour identifier les utilisateurs. C'est
+ le seul service configuré par défaut pour rejeter (REJECT) les
+ paquets.</para>
<para>Si vous voyez d'autres ports TCP fermés autres que le port 113
(auth) c'est que vous avez ajouté des règles REJECT pour ces ports ou
@@ -703,32 +792,19 @@ de deboguage de l'interface newnat.</programlisting></para>
<title>(FAQ 4c) Comment utiliser Shorewall avec PortSentry?Vous
- trouverez ici la description d'une bonne intégration de
- Shorewall et PortSentry.
+ url="http://www.shorewall.net/pub/shorewall/contrib/PortsentryHOWTO.txt">Answer: Vous trouverez ici la
+ description d'une bonne intégration de Shorewall et
+ PortSentry.
-
- (FAQ 51) Comment <quote>ouvrir un port</quote> avec Shorewall
- ?
+
+ (FAQ 4d) Comment utiliser Shorewall avec Snort-Inline?
- Réponse: Ça dépend
- …
-
- Si l'application qui sert ce port tourne sur le même système que
- Shorewall, ajoutez cette règle:
-
- #ACTION SOURCE DEST PROTO DEST PORT(S)
-ACCEPT net $FW <protocole> <numéro de port>
-
- Où <protocole> est tcp ou
- udp et <numéro de port> est le port que vous
- voulez ouvrir.
-
- Si l'application qui sert ce port tourne sur un autre système sur
- votre réseau local, voyez la FAQ 1
- SVP.
+ Réponse:Allez
+ voir cette contribution de Michael Cooke.
@@ -792,8 +868,8 @@ ACCEPT net $FW <protocole> <num
(FAQ 29) FTP ne fonctionne pas
- Voir la page Shorewall et
- FTP.
+ Réponse: Voir la page Shorewall et FTP.
@@ -889,9 +965,21 @@ LOGBURST=""
temporairement de la journalisation Shorewall les messages d'erreur
pour ce port ?
- Ajoutez temporairement la règle suivante:
+ Réponse: Ajoutez temporairement
+ la règle suivante:
- DROP net fw udp 10619
+ #ACTION SOURCE DEST PROTO DEST PORT(S)
+DROP net fw udp 10619
+
+ Sinon, si vous ne mettez pas le paramètre BLACKLIST_LOGLEVEL et
+ que vous avez spécifié l'option 'blacklist' sur votre interface
+ externe dans le fichier
+ /etc/shorewall/interfaces, vous pouvez
+ blacklister le port. Dans le fichier
+ /etc/shorewall/blacklist:
+
+ #ADDRESS/SUBNET PROTOCOL PORT
+- udp 10619
@@ -899,9 +987,9 @@ LOGBURST=""
journalisation Shorewall est-elle si longue ? Je pensais que l'adresse
MAC ne faisait que 6 octets.
- Ce qui est labelisé comme adresse MAC dans les messages de
- journalisation Shorewall est en fait l'entête de la trame ethernet.
- Elle contient:
+ Réponse: Ce qui est labelisé
+ comme adresse MAC dans les messages de journalisation Shorewall est en
+ fait l'entête de la trame ethernet. Elle contient:
@@ -1061,6 +1149,13 @@ LOGBURST=""
politique ou alors ce paquet correspond à une règle incluant un niveau de
journalisation.
+
+ A partir de Shorewall 3.3.3, les paquets loggés par ces
+ chaines peuvent avoir une source et/ou une destination
+ n'appartenant à aucune zone définie (voir le résultat de la
+ commande shorewall[-lite] show zones).
+ Souvenez-vous que l'appartenance à une zone nécessite à la fois
+ une interface du firewall et une adresse ip.
@@ -1130,19 +1225,22 @@ LOGBURST=""
Ce paquet a une adresse IP source qui n'est définie dans
- aucune de vos zones (shorewall check et regardez
- les définitions de zones) ou alors la chaîne est FORWARD et
- l'adresse IP de destination ne figure dans aucune de vos zones
- définies. Si la chaîne est FORWARD et les interfaces IN et OUT
- sont identiques, vous avez sans doute besoin de l'option routeback sur cette interface dans le
- fichier shorewall[-lite] show
+ zones et regardez les définitions de zones) ou
+ alors la chaîne est FORWARD et l'adresse IP de destination ne
+ figure dans aucune de vos zones définies. Si la chaîne est FORWARD
+ et les interfaces IN et OUT sont identiques, vous avez sans doute
+ besoin de l'option routeback sur
+ cette interface dans le fichier /etc/shorewall/interfaces
ou bien vous avez besoin de l'option routeback pour l'entrée adéquate dans le
fichier/etc/shorewall/hosts.
+
+ A partir de 3.3.3, de tels paquets peuvent aussi être loggés
+ par les chaines <zone>2all et all2all.
@@ -1153,6 +1251,9 @@ LOGBURST=""
Ce paquet a une adresse IP destination qui n'est définie
dans aucune de vos zones (shorewall check et
regardez les définitions de zones).
+
+ A partir Shorewall 3.3.3, de tels paquets peuvent aussi être
+ loggés par les chaines fw2all et all2all.
@@ -1284,9 +1385,9 @@ LOGBURST=""
Réponse: Bien que la plupart des
gens associent ICMP (Internet Control Message Protocol) à
- ping, ICMP est une pièce clé d'internet. ICMP sert à
- informer l'expéditeur d'un paquet des problèmes rencontrés. C'est ce qui
- se produit ici. Malheureusement, de nombreuses implémentations ne
+ ping, ICMP est une pièce clé de IP. ICMP sert à informer
+ l'expéditeur d'un paquet des problèmes rencontrés. C'est ce qui se
+ produit ici. Malheureusement, de nombreuses implémentations ne
fonctionnent pas dès lors que la traduction d'adresses est impliquée (y
compris SNAT, DNAT et Masquerade). C'est ce que vous voyez avec à
travers ces messages. Quand Netfilter renvoie ces messages, la partie
@@ -1321,10 +1422,10 @@ LOGBURST=""
- (FAQ 52) Quand je blackliste une adresse IP avec "shorewall drop
- www.xxx.yyy.zzz", pourquoi est-ce qu'il y a toujours des entrées
- REDIRECT et DNAT en provenance de cette adresse dans mon journal
- ?
+ (FAQ 52) Quand je blackliste une adresse IP avec
+ "shorewall[-lite] drop www.xxx.yyy.zzz", pourquoi est-ce qu'il y a
+ toujours des entrées REDIRECT et DNAT en provenance de cette adresse
+ dans mon journal ?J'ai blacklisté l'adresse 130.252.100.59 avec la commande
shorewall drop 130.252.100.59 mais je vois toujours
@@ -1337,11 +1438,25 @@ LOGBURST=""
Réponse: Veuillez vous référer à
Shorewall Netfilter
Documentation. La journalisation des règles REDIRECT et DNAT se
- produit dans la chaine PREROUTING de la table nat dans laquelle
+ produit dans la chaîne PREROUTING de la table nat dans laquelle
l'adresse est toujours valide. Le blacklistage se produit dans les
- chaines INPUT et FORWARD de la table filter qui ne sont traversées que
+ chaînes INPUT et FORWARD de la table filter qui ne sont traversées que
plus tard.
+
+
+ (FAQ 56) Quand je démarre ou redémarre Shorewall, je vois ces
+ messages dans mon fichier log. Est-ce grave ?
+
+
+
+ Réponse: Non. Ceci se produit
+ lorsque shorewall teste votre système pour déterminer les fonctions
+ qu'il supporte. Ils ne présentent aucun risque.
+
@@ -1391,15 +1506,16 @@ LOGBURST=""
(FAQ 7) Quand j'arrête Shorewall avec la commande
- <quote>shorewall stop</quote>, je ne peux plus me connecter à quoi que
- ce soit. Pourquoi cette commande ne fonctionne-t-elle pas?
+ shorewall[-lite] stop, je ne peux plus me connecter à
+ quoi que ce soit. Pourquoi cette commande ne fonctionne-t-elle
+ pas?
- La commande stop est prévue
- pour mettre votre firewall dans un état de sécurité où seuls les hôtes
- listés dans le fichier /etc/shorewall/routestopped
- sont activés. Si vous voulez ouvrir complètement votre firewall, il vous
- faut utiliser la commande shorewall
- clear.
+ Réponse: La commande
+ stop est prévue pour mettre votre firewall
+ dans un état de sécurité où seuls les hôtes listés dans le fichier
+ /etc/shorewall/routestopped sont activés. Si vous
+ voulez ouvrir complètement votre firewall, il vous faut utiliser la
+ commande shorewall clear.
@@ -1480,7 +1596,8 @@ Creating input Chains...
(FAQ 22) Je voudrais exécuter certaines commandes iptables au
démarrage de Shorewall. Dans quel fichier les mettre?
- Vous pouvez placer ces commandes dans une des Réponse: Vous pouvez placer ces
+ commandes dans une des Scripts d'Extension
Shorewall. Assurez-vous de bien examiner le contenu des chaînes
que vos commandes vont modifier afin d'être certain que ces commandes
@@ -1497,12 +1614,13 @@ Creating input Chains...
(FAQ 34) Comment accélérer le démarrage (start/restart)?
- L'utilisation d'un shell léger tel que ash peut
- diminuer de façon très significative le temps nécessaire pour démarrer
- (start/restart) Shorewall. Voyez la variable
- SHOREWALL_SHELL dans le fichier shorewall.conf.
+ Réponse: L'utilisation d'un shell
+ léger tel que ash peut diminuer de façon très
+ significative le temps nécessaire pour démarrer (start/restart)
+ Shorewall. Voyez la variable SHOREWALL_SHELL dans le fichier
+ shorewall.conf
+ .Utilisez un émulateur de terminal rapide -- en particulier la
console KDE défile beaucoup plus vite que le terminal Gnome. Vous pouvez
@@ -1568,6 +1686,24 @@ Creating input Chains...
l'ancienne configuration enregistrée dans
/var/lib/shorewall/restore lors du prochain
démarrage de votre système.
+
+ Finalement, le temps pendant lequel les nouvelles connexions sont
+ bloquées durant le redémarrage de Shorewall peut être réduit dans de
+ très grande proportions en upgradant vers Shorewall 3.2 ou une version
+ ultérieure. A partir de la 3.2, shorewall [re]start
+ procède en deux étapes:
+
+
+
+ La configuration courante est compilée afin de produire un
+ programme shell conçu pour votre configuration.
+
+
+
+ Si la compilation se déroule sans erreur, le programme compilé
+ est exécuté pour [re]démarrer votre firewall.
+
+
@@ -1583,8 +1719,8 @@ Creating input Chains...
- (FAQ 45) Pourquoi est-ce que "shorewall start" échoue lorsque je
- tente de mettre en place SNAT/Masquerade?
+ (FAQ 45) Pourquoi est-ce que "shorewall[-lite] start" échoue
+ lorsque je tente de mettre en place SNAT/Masquerade?shorewall start produit la sortie
suivante:
@@ -1620,24 +1756,100 @@ iptables: Invalid argument
+
+
+ (FAQ 59) Après le démarrage de Shorewall, de nombreux modules
+ netfilter inutilisés sont chargés. Comment éviter cela ?
+
+ Réponse: Copiez
+ /usr/share/shorewall/modules (ou
+ /usr/share/shorewall/xmodules suivant le cas) vers
+ /etc/shorewall/modules et modifiez cette copie pour
+ qu'elle ne contienne que les modules dont vous avez besoin.
+
+
+
+ (FAQ 61) Je viens juste d'installer le nouveau kernel Debian, et
+ maintenant "shorewall start" échoue avec le message "ipt_policy:
+ matchsize 116 != 308". Qu'est-ce qui ne va pas?
+
+ Réponse: Votre version d'iptables
+ est incompatible avec votre kernel.
+
+
+
+ recompilez iptables en utilisant les headers de votre nouveau
+ kernel; ou bien
+
+
+
+ si vous n'avez pas besoin du support de "policy match" (vous
+ n'utilisez pas l'implémentation IPSEC du kernel 2.6) vous pouvez
+ renommer /lib/iptables/libipt_policy.so.
+
+
+
+
+
+
+ Multiples FAIs
+
+
+ (FAQ 57) J'ai configuré deux FAIs dans Shorewall mais quand
+ j'essaye d'utiliser le second, cela ne fonctionne pas.
+
+ Réponse: La documentation
+ Multi-ISP vous recommande très fortement d'utiliser l'option
+ d'équilibrage (balance) pour tous les
+ FAIs même si vous voulez spécifier manuellement quel FAI utiliser. Si
+ vous ne le faites pas et que votre table principale de routage n'a
+ qu'une seule route par défaut, vous devez désactiver le filtrage de
+ route. Ne spécifiez pas l'option routefilter sur l'autre interface dans
+ /etc/shorewall/interfaces et désactivez toute
+ protections contre le spoofing d'adresses IP que
+ votre distribution pourrait offrir.
+
+
+
+ (FAQ 58) Mais si je spécifie 'balance' est-ce que shorewall ne va
+ pas équilibrer le trafic entre les interfaces ? Je ne veux pas qu'il le
+ fasse !
+
+ Réponse: Supposez que vous
+ vouliez que tout le trafic passe par le FAI1 (mark 1) jusqu'à ce que
+ vous spécifiez différemment. Dans ce cas, ajoutez simplement ces deux
+ règles comme premières règles de marquage dans votre fichier
+ /etc/shorewall/tcrules:
+
+ #MARK SOURCE DEST
+1:P 0.0.0.0/0
+1:P $FW
+<other MARK rules>
+
+ Maintenant, tout le trafic qui n'est pas marqué par une de vos
+ autres règles de marquage aura mark=1 et sera envoyé par le FAI1. Ceci
+ fonctionnera que l'option balance soit
+ spécifiée ou pas.
+ Au sujet de Shorewall
- (FAQ 10) Sur quelles distributions tourne-t-il?
+ (FAQ 10) Sur quelles distributions Shorewall tourne-t-il?
- Shorewall fonctionnera sur n'importe quelle distribution GNU/Linux
- distribution réunissant les pré-requis Shorewall indiqués
- dans ce document.
+ Réponse: Shorewall fonctionnera
+ sur n'importe quelle distribution GNU/Linux distribution réunissant les
+ pré-requis Shorewall
+ indiqués dans ce document.
- (FAQ 11) Quelles sont ses caractéristiques?
+ (FAQ 11) Quelles sont les caractéristiques de Shorewall ?
- Réponse: voir la Réponse: voir la liste des caractéristiques de
Shorewall.
@@ -1646,7 +1858,7 @@ iptables: Invalid argument
(FAQ 12) Existe-t-il une interface graphique?Réponse: Oui. Webmin offre le
- support de Shorewall à partir de la version 1.060. Voir http://www.webmin.com
@@ -1667,20 +1879,22 @@ iptables: Invalid argument
(FAQ 23) Pourquoi utilisez-vous des polices de caractères aussi
affreuses sur votre site web?
- Le site web de Shorewall est presque entièrement neutre en ce qui
- concerne les polices (à l'exception de quelques pages il ne spécifie
- explicitement aucune police). Les polices que vous voyez sont largement
- celles configurées par défaut dans votre navigateur. Si vous ne les
- aimez pas reconfigurez votre navigateur.
+ Réponse: Le site web de Shorewall
+ est presque entièrement neutre en ce qui concerne les polices (à
+ l'exception de quelques pages il ne spécifie explicitement aucune
+ police). Les polices que vous voyez sont largement celles configurées
+ par défaut dans votre navigateur. Si vous ne les aimez pas reconfigurez
+ votre navigateur.
- (FAQ 25) Comment savoir quelle version de Shorewall
- j'utilise?
+ (FAQ 25) Comment savoir quelle version de Shorewall ou de
+ Shorewall Lite j'utilise?
- A l'invite du système, tapez:
+ Réponse: A l'invite du système,
+ tapez:
- /sbin/shorewall version
+ /sbin/shorewall[-lite] version
@@ -1693,7 +1907,7 @@ iptables: Invalid argument
servant d'adresses IP du réseau local comme adresse source?
- Réponse: Oui.
+ Réponse: Oui.
@@ -1702,10 +1916,10 @@ iptables: Invalid argument
recouvrent ?
- Réponse: Ceci est de la responsabilité de la pile IP, ce
- n'est pas celle d'un firewall basé sur Netfilter car le
- ré-assemblage des fragments est fait avant que le filtre de
- paquets ne voie chaque paquet.
+ Réponse: Ceci est de la
+ responsabilité de la pile IP, ce n'est pas celle d'un firewall
+ basé sur Netfilter car le ré-assemblage des fragments est fait
+ avant que le filtre de paquets ne voie chaque paquet.
@@ -1715,11 +1929,12 @@ iptables: Invalid argument
LAN?
- Réponse: On peut configurer Shorewall pour le faire avec sa
- fonction de liste noire
- (blacklist). A partir de la version 2.0.0, Shorewall
- filtre ces paquets avec l'option d'interface
- nosmurfs dans le fichier Réponse: On peut configurer
+ Shorewall pour le faire avec sa fonction de liste noire (blacklist). A
+ partir de la version 2.0.0, Shorewall filtre ces paquets avec
+ l'option d'interface nosmurfs dans le
+ fichier /etc/shorewall/interfaces.
@@ -1729,8 +1944,8 @@ iptables: Invalid argument
comme source et comme destination?
- Réponse: Oui lorsque l'option d'interface
+ Réponse: Oui lorsque
+ l'option d'interface
routefilter est sélectionnée.
@@ -1740,12 +1955,12 @@ iptables: Invalid argument
hôte
- Réponse: Shorewall offre la possibilité de limiter les
- paquets SYN les paquets ICMP. Netfilter tel qu'il est inclus dans
- les noyaux Linux standard ne supporte pas la mise en oeuvre de
- limitations par hôte distant sauf en utilisant une règle explicite
- qui spécifie l'adresse IP de l'hôte. Cette forme de limitation est
- supportée par Shorewall.
+ Réponse: Shorewall offre la
+ possibilité de limiter les paquets SYN les paquets ICMP. Netfilter
+ tel qu'il est inclus dans les noyaux Linux standard ne supporte
+ pas la mise en oeuvre de limitations par hôte distant sauf en
+ utilisant une règle explicite qui spécifie l'adresse IP de l'hôte.
+ Cette forme de limitation est supportée par Shorewall.
@@ -1755,15 +1970,15 @@ iptables: Invalid argument
(FAQ 36) Est-ce que Shorewall tourne sur le noyau Linux
2.6?
- Shorewall fonctionne avec les noyaux 2.6 avec les deux
- restrictions suivantes:
+ Réponse: Shorewall fonctionne
+ avec les noyaux 2.6 avec les deux restrictions suivantes:
- Dans les noyaux 2.6 Netfilter/iptables n'offre pas un support
- complet d'IPSEC -- il existe des patch pour le noyau et pour
- iptables. Vous trouverez des détails à la page Shorewall IPSEC-2.6.
+ Dans les noyaux 2.6 jusqu'au 2.6.16, Netfilter/iptables
+ n'offre pas un support complet d'IPSEC -- il existe des patch pour
+ le noyau et pour iptables. Vous trouverez des détails à la page
+ Shorewall IPSEC-2.6.
@@ -1792,15 +2007,8 @@ iptables: Invalid argument
destination de 192.168.100.1, adresse de mon modem, tout en continuant à
filtrer les autres adresses rfc1918?
- Réponse: Si vous utilisez une
- version de Shorewall antérieure à la 1.3.1, créez un fichier
- /etc/shorewall/start et mettez-y la commande
- suivante:
-
- run_iptables -I rfc1918 -s 192.168.100.1 -j ACCEPT
-
- Si vous utilisez la version 1.3.1 ou une version plus récente,
- ajoutez ce qui suit dans le fichier Réponse: Ajoutez ce qui suit dans
+ le fichier /etc/shorewall/rfc1918
(Remarque: Si vous utilisez 2.0.0 ou une version ultérieure, il est
possible que ayez à préalablement à copier le fichier
@@ -1833,9 +2041,10 @@ iptables: Invalid argument
filtrage RFC 1918 sur mon interface externe, mon client DHCP ne peut
plus renouveler son bail.
- La solution est la même que dans la FAQ
- 14 présentée au-dessus. Substituez-y simplement l'adresse du
- serveur DHCP de votre FAI.
+ Réponse: La solution est la
+ même que dans la FAQ 14 présentée
+ au-dessus. Substituez-y simplement l'adresse du serveur DHCP de votre
+ FAI.
@@ -1898,7 +2107,7 @@ eth0 eth1 # eth1 = interface to local netwo
A titre d'exemple lorsque le modem cable/ADSL est
ponté (bridge), vous pouvez aller voir ma configuration. Dans ce cas, je
+ url="XenMyWay.html">ma configuration. Dans ce cas, je
masquerade en utilisant l'adresse IP de mon interface
locale!
@@ -1920,27 +2129,140 @@ eth0 eth1 # eth1 = interface to local netwo
- Divers
+ Shorewall Lite
-
- (FAQ 19) J'ai ajouté des entrées au fichier
- /etc/shorewall/tcrules mais elles semblent n'avoir aucun effet.
- Pourquoi?
+
+ (FAQ 53) Qu'est-ce que Shorewall Lite?
- Vous n'avez probablement pas mis TC_ENABLED=Yes dans le fichier
- /etc/shorewall/shorewall.conf et de ce fait le
- contenu du fichier tcrules est tout simplement ignoré.
+ Réponse: Shorewall Lite est un
+ produit partenaire de Shorewall. Il est conçu pour vous permettre de
+ maintenir les informations de toutes vos configurations de Shorewall sur
+ un seul système dans votre réseau. Pour plus de détails, voir Compiled Firewall script
+ documentation.
+
+ (FAQ 54) Si je veux installer Shorewall Lite, est-ce que je dois
+ aussi installer Shorewall sur le même système ?
+
+ Réponse: Non. En fait, nous
+ recommandons que vous n'installiez pas Shorewall sur les systèmes sur
+ lesquels vous souhaitez utiliser Shorewall Lite. Vous devez avoir
+ installé Shorewall sur au moins un des systèmes de votre réseau pour
+ pouvoir utiliser Shorewall Lite.
+
+
+
+ (FAQ 55) Comment décider quel produit utiliser - Shorewall ou
+ Shorewall Lite?
+
+ Réponse: Si vous prévoyez d'avoir
+ un seul firewall, Shorewall est le choix logique. Je pense aussi que
+ Shorewall est le choix le plus approprié pour un portable car vous
+ pouvez avoir à changer sa configuration lorsque vous êtes en
+ déplacement. Dans tous les autres cas, Shorewall Lite fonctionnera très
+ bien. A shorewall.net, les deux portables ainsi que mon ordinateur de
+ bureau linux sont installés avec la version complète de Shorewall. Tous
+ les autres systèmes Linux qui ont un firewall utilisent Shorewall Lite
+ et leurs répertoires de configuration sont sur mon ordinateur de
+ bureau.
+
+
+
+ (FAQ 60) Quelles restrictions de compatibilité existent entre
+ Shorewall et Shorewall Lite
+
+ Réponse: Voir le tableau
+ ci-dessous (C = Complètement compatible avec toutes les fonctionnalités
+ disponibles, P1 = Compatible mais la totalité des fonctions de Shorewall
+ ne sont pas disponibles, P2 = Compatible mais la totalité des fonctions
+ de Shorewall Lite ne sont pas disponibles, I = incompatible).
+
+
+
+
+
+
+
+
+
+ Shorewall Lite 3.2.0
+
+ Shorewall Lite 3.2.1
+
+ Shorewall Lite 3.2.2
+
+ Shorewall Lite 3.2.3
+
+
+
+
+
+ Shorewall 3.2.0
+
+ C
+
+ C
+
+ P2
+
+ P2
+
+
+
+ Shorewall 3.2.1
+
+ C
+
+ C
+
+ C
+
+ P2
+
+
+
+ Shorewall 3.2.2
+
+ P1
+
+ P1
+
+ C
+
+ C
+
+
+
+ Shorewall 3.2.3
+
+ P1
+
+ P1
+
+ C
+
+ C
+
+
+
+
+
+
+
+
+ Divers
+
(FAQ 20) Je viens d'installer un serveur. Dois-je modifier
Shorewall pour autoriser les accès internet à mon serveur?
- Oui. Consultez le guides de démarrage rapide
- que vous avez utilisé pour votre configuration initiale afin d'avoir des
- informations nécessaires à l'écriture des règles pour votre
- serveur.
+ Réponse : Oui. Consultez le
+ guides de démarrage
+ rapide que vous avez utilisé pour votre configuration initiale
+ afin d'avoir des informations nécessaires à l'écriture des règles pour
+ votre serveur.
@@ -1948,9 +2270,10 @@ eth0 eth1 # eth1 = interface to local netwo
port ssh, par exemple, mais seulement depuis certaines adresses IP
spécifiques?
- Dans la colonne SOURCE de la règle, faites suivre
- net de : puis d'une liste séparée par des
- virgules d'adresses de machines ou de sous-réseaux
+ Réponse : Dans la colonne SOURCE
+ de la règle, faites suivre net de : puis
+ d'une liste séparée par des virgules d'adresses de machines ou de
+ sous-réseauxnet:<ip1>,<ip2>,...
@@ -1967,22 +2290,23 @@ eth0 eth1 # eth1 = interface to local netwo
machine derrière le firewall, j'obtiens une erreur operation not
permitted. Comment utiliser nmap avec Shorewall?"
- Retirez temporairement les règles rejNotSyn, dropNotSyn and
- dropInvalid du fichier /etc/shorewall/rules et
- relancez Shorewall.
+ Réponse : Retirez temporairement
+ les règles rejNotSyn, dropNotSyn and dropInvalid du fichier
+ /etc/shorewall/rules et relancez Shorewall.(FAQ 27) Je compile un nouveau noyau (kernel) pour mon firewall.
A quoi devrais-je faire attention?
- Commencez par regarder la page de configuration du noyau pour Shorewall. Vous
- souhaiterez sans doute vous assurer que vous avez bien sélectionné
- NAT of local connections (READ
- HELP) dans le menu de configuration de Netfilter.
- Sans cela, les règles DNAT ayant votre firewall comme zone source ne
- fonctionneraient pas avec votre nouveau noyau.
+ Réponse : Commencez par regarder
+ la page de configuration du noyau pour
+ Shorewall. Vous souhaiterez sans doute vous assurer que vous
+ avez bien sélectionné NAT of local
+ connections (READ HELP) dans le menu de
+ configuration de Netfilter. Sans cela, les règles DNAT ayant votre
+ firewall comme zone source ne fonctionneraient pas avec votre nouveau
+ noyau.(FAQ 27a) Je viens de compiler (ou j'ai téléchargé ou récupéré
@@ -2019,8 +2343,9 @@ iptables: Invalid argument
<title>(FAQ 28) Comment utiliser Shorewall en pont filtrant (Bridging
Firewall)?
- Le support Shorewall pour les ponts filtrant existe — voir ici pour les détails.
+ Réponse : Le support Shorewall
+ pour les ponts filtrant existe — voir
+ ici pour les détails.
@@ -2071,9 +2396,9 @@ REJECT fw net:216.239.39.99 allSachant que
FTP nécessitent que le firewall examine et
éventuellement modifie les données (payload) du paquet, analyser les
données de paquets individuellement ne fonctionne pas toujours car le
- flux de données de niveau applicatif peut être fractionné de manière
+ flux de données de niveau application peut être fractionné de manière
arbitraire entre les paquets. Ceci est une des faiblesses de l'extension
- 'string match' de Netfilter que l'on trouve dans le Patch-O-Matic. Le
+ 'string match' de Netfilter que l'on trouve dans le Patch-O-Matic-ng. Le
seul moyen sûr pour filtrer sur le contenu des paquets est d'utiliser un
proxy pour les connexions concernées -- dans le cas de HTTP, on pourra
utiliser une application telle que Sachant que
- (FAQ 42) Comment connaitre quelles sont les fonctions supportées
+ <title>(FAQ 42) Comment connaître quelles sont les fonctions supportées
par mon noyau et ma version d'iptables?Réponse: En tant que root,
- utilisez la commande shorewall show
+ utilisez la commande shorewall[-lite] show
capabilities.gateway:~# shorewall show capabilities
@@ -2115,5 +2440,22 @@ Shorewall has detected the following iptables/netfilter capabilities:
Raw Table: Available
gateway:~#
+
+
+ (FAQ 19) Comment ouvrir le firewall pour tout le trafic de/vers
+ le LAN?
+
+ Réponse : Ajoutez ces deux
+ politiques:
+
+ #SOURCE DESTINATION POLICY LOG LIMIT:BURST
+# LEVEL
+$FW loc ACCEPT
+loc $FW ACCEPT
+
+ Vous pouvez également supprimer toutes les règles ACCEPT de
+ $FW->loc et loc->$FW car ces règles sont maintenant redondantes
+ avec les deux politiques fixées ci-dessus.
+
\ No newline at end of file
diff --git a/docs-fr/standalone_fr.xml b/docs-fr/standalone_fr.xml
index bcae2f4ee..e6f0111f6 100644
--- a/docs-fr/standalone_fr.xml
+++ b/docs-fr/standalone_fr.xml
@@ -469,7 +469,7 @@ all all REJECT info
class="directory">/etc/shorewall/interfaces.
-
+ Permettre d'autres connexionsShorewall inclue une collection de macros
diff --git a/docs-fr/three-interface_fr.xml b/docs-fr/three-interface_fr.xml
index dc6ea8578..686a11467 100644
--- a/docs-fr/three-interface_fr.xml
+++ b/docs-fr/three-interface_fr.xml
@@ -744,7 +744,7 @@ $FW net ACCEPT
-
+ Transfert de ports (DNAT)Un de nos objectifs est de faire tourner un ou plusieurs serveurs
@@ -961,7 +961,7 @@ ACCEPT dmz $FW udp 53 ici.
-
+ Autres ConnexionsLes fichiers exemples inclus dans l'archive (three-interface)
diff --git a/docs-fr/two-interface_fr.xml b/docs-fr/two-interface_fr.xml
index 4bc281994..0e5199753 100644
--- a/docs-fr/two-interface_fr.xml
+++ b/docs-fr/two-interface_fr.xml
@@ -690,7 +690,7 @@ $FW net ACCEPT Ces politiques vont:
-
+ Transfert de ports (DNAT)Un de vos objectifs est peut-être de faire tourner un ou plusieurs
@@ -849,7 +849,7 @@ DNS/ACCEPT loc $FW
-
+ Autres ConnexionsLes fichiers exemples inclus dans l'archive pour le firewall à deux