1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964
965
966
967
968
969
970
971
972
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
991
992
993
994
995
996
997
998
999
1000
1001
1002
1003
1004
1005
1006
1007
1008
1009
1010
1011
1012
1013
1014
1015
1016
1017
1018
1019
1020
1021
1022
1023
1024
1025
1026
1027
1028
1029
1030
1031
1032
1033
1034
1035
1036
1037
1038
1039
1040
1041
1042
1043
1044
1045
1046
1047
1048
1049
1050
1051
1052
1053
1054
1055
1056
1057
1058
1059
1060
1061
1062
1063
1064
1065
1066
1067
1068
1069
1070
1071
1072
1073
1074
1075
1076
1077
1078
1079
1080
1081
1082
1083
1084
1085
1086
1087
1088
1089
1090
1091
1092
1093
1094
1095
1096
1097
1098
1099
1100
1101
1102
1103
1104
1105
1106
1107
1108
1109
1110
1111
1112
1113
1114
1115
1116
1117
1118
1119
1120
1121
1122
1123
1124
1125
1126
1127
1128
1129
1130
1131
1132
1133
1134
1135
1136
1137
1138
1139
1140
1141
1142
1143
1144
1145
1146
1147
1148
1149
1150
1151
1152
1153
1154
1155
1156
1157
1158
1159
1160
1161
1162
1163
1164
1165
1166
1167
1168
1169
1170
1171
1172
1173
1174
1175
1176
1177
1178
1179
1180
1181
1182
1183
1184
1185
1186
1187
1188
1189
1190
1191
1192
1193
1194
1195
1196
1197
1198
1199
1200
1201
1202
1203
1204
1205
1206
1207
1208
1209
1210
1211
1212
1213
1214
1215
1216
1217
1218
1219
1220
1221
1222
1223
1224
1225
1226
1227
1228
1229
1230
1231
1232
1233
1234
1235
1236
1237
1238
1239
1240
1241
1242
1243
1244
1245
1246
1247
1248
1249
1250
1251
1252
1253
1254
1255
1256
1257
1258
1259
1260
1261
1262
1263
1264
1265
1266
1267
1268
1269
1270
1271
1272
1273
1274
1275
1276
1277
1278
1279
1280
1281
1282
1283
1284
1285
1286
1287
1288
1289
1290
1291
1292
1293
1294
1295
1296
1297
1298
1299
1300
1301
1302
1303
1304
1305
1306
1307
1308
1309
1310
1311
1312
1313
1314
1315
1316
1317
1318
1319
1320
1321
1322
1323
1324
1325
1326
1327
1328
1329
1330
1331
1332
1333
1334
1335
1336
1337
1338
1339
1340
1341
1342
1343
1344
1345
1346
1347
1348
1349
1350
1351
1352
1353
1354
1355
1356
1357
1358
1359
1360
1361
1362
1363
1364
1365
1366
1367
1368
1369
1370
1371
1372
1373
1374
1375
1376
1377
1378
1379
1380
1381
1382
1383
1384
1385
1386
1387
1388
1389
1390
1391
1392
1393
1394
1395
1396
1397
1398
1399
1400
1401
1402
1403
1404
1405
1406
1407
1408
1409
1410
1411
1412
1413
1414
1415
1416
1417
1418
1419
1420
1421
1422
1423
1424
1425
1426
1427
1428
1429
1430
1431
1432
1433
1434
1435
1436
1437
1438
1439
1440
1441
1442
1443
1444
1445
1446
1447
1448
1449
1450
1451
1452
1453
1454
1455
1456
1457
1458
1459
1460
1461
1462
1463
1464
1465
1466
1467
1468
1469
1470
1471
1472
1473
1474
1475
1476
1477
1478
1479
1480
1481
1482
1483
1484
1485
1486
1487
1488
1489
1490
1491
1492
1493
1494
1495
1496
1497
1498
1499
1500
1501
1502
1503
1504
1505
1506
1507
1508
1509
1510
1511
1512
1513
1514
1515
1516
1517
1518
1519
1520
1521
1522
1523
1524
1525
1526
1527
1528
1529
1530
1531
1532
1533
1534
1535
1536
1537
1538
1539
1540
1541
1542
1543
1544
1545
1546
1547
1548
1549
1550
1551
1552
1553
1554
1555
1556
1557
1558
1559
1560
1561
1562
1563
1564
1565
1566
1567
1568
1569
1570
1571
1572
1573
1574
1575
1576
1577
1578
1579
1580
1581
1582
1583
1584
1585
1586
1587
1588
1589
1590
1591
1592
1593
1594
1595
1596
1597
1598
1599
1600
1601
1602
1603
1604
1605
1606
1607
1608
1609
1610
1611
1612
1613
1614
1615
1616
1617
1618
1619
1620
1621
1622
1623
1624
1625
1626
1627
1628
1629
1630
1631
1632
1633
1634
1635
1636
1637
1638
1639
1640
1641
1642
1643
1644
1645
1646
1647
1648
1649
1650
1651
1652
1653
1654
1655
1656
1657
1658
1659
1660
1661
1662
1663
1664
1665
1666
1667
1668
1669
1670
1671
1672
1673
1674
1675
1676
1677
1678
1679
1680
1681
1682
1683
1684
1685
1686
1687
1688
1689
1690
1691
1692
1693
1694
1695
1696
1697
1698
1699
1700
1701
1702
1703
1704
1705
1706
1707
1708
1709
1710
1711
1712
1713
1714
1715
1716
1717
1718
1719
1720
1721
1722
1723
1724
1725
1726
1727
1728
1729
1730
1731
1732
1733
1734
1735
1736
1737
1738
1739
1740
1741
1742
1743
1744
1745
1746
1747
1748
1749
1750
1751
1752
1753
1754
1755
1756
1757
1758
1759
1760
1761
1762
1763
1764
1765
1766
1767
1768
1769
1770
1771
1772
1773
1774
1775
1776
1777
1778
1779
1780
1781
1782
1783
1784
1785
1786
1787
1788
1789
1790
1791
1792
1793
1794
1795
1796
1797
1798
1799
1800
1801
1802
1803
1804
1805
1806
1807
1808
1809
1810
1811
1812
1813
1814
1815
1816
1817
1818
1819
1820
1821
1822
1823
1824
1825
1826
1827
1828
1829
1830
1831
1832
1833
1834
1835
1836
1837
1838
1839
1840
1841
1842
1843
1844
1845
1846
1847
1848
1849
1850
1851
1852
1853
1854
1855
1856
1857
1858
1859
1860
1861
1862
1863
1864
1865
1866
1867
1868
1869
1870
1871
1872
1873
1874
1875
1876
1877
1878
1879
1880
1881
1882
1883
1884
1885
1886
1887
1888
1889
1890
1891
1892
1893
1894
1895
1896
1897
1898
1899
1900
1901
1902
1903
1904
1905
1906
1907
1908
1909
1910
1911
1912
1913
1914
1915
1916
1917
1918
1919
1920
1921
1922
1923
1924
1925
1926
1927
1928
1929
1930
1931
1932
1933
1934
1935
1936
1937
1938
1939
1940
1941
1942
1943
1944
1945
1946
1947
1948
1949
1950
1951
1952
1953
1954
1955
1956
1957
1958
1959
1960
1961
1962
1963
1964
1965
1966
1967
1968
1969
1970
1971
1972
1973
1974
1975
1976
1977
1978
1979
1980
1981
1982
1983
1984
1985
1986
1987
1988
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
2016
2017
2018
2019
2020
2021
2022
2023
2024
2025
2026
2027
2028
2029
2030
2031
2032
2033
2034
2035
2036
2037
2038
2039
2040
2041
2042
2043
2044
2045
2046
2047
2048
2049
2050
2051
2052
2053
2054
2055
2056
2057
2058
2059
2060
2061
2062
2063
2064
2065
2066
2067
2068
2069
2070
2071
2072
2073
2074
2075
2076
2077
2078
2079
2080
2081
2082
2083
2084
2085
2086
2087
2088
2089
2090
2091
2092
2093
2094
2095
2096
2097
2098
2099
2100
2101
2102
2103
2104
2105
2106
2107
2108
2109
2110
2111
2112
2113
2114
2115
2116
2117
2118
2119
2120
2121
2122
2123
2124
2125
2126
2127
2128
2129
2130
2131
2132
2133
2134
2135
2136
2137
2138
2139
2140
2141
2142
2143
2144
2145
2146
2147
2148
2149
2150
2151
2152
2153
2154
2155
2156
2157
2158
2159
2160
2161
2162
2163
2164
2165
2166
2167
2168
2169
2170
2171
2172
2173
2174
2175
2176
2177
2178
2179
2180
2181
2182
2183
2184
2185
2186
2187
2188
2189
2190
2191
2192
2193
2194
2195
2196
2197
2198
2199
2200
2201
2202
2203
2204
2205
2206
2207
2208
2209
2210
2211
2212
2213
2214
2215
2216
2217
2218
2219
2220
2221
2222
2223
2224
2225
2226
2227
2228
2229
2230
2231
2232
2233
2234
2235
2236
2237
2238
2239
2240
2241
2242
2243
2244
2245
2246
2247
2248
2249
2250
2251
2252
2253
2254
2255
2256
2257
2258
2259
2260
2261
2262
2263
2264
2265
2266
2267
2268
2269
2270
2271
2272
2273
2274
2275
2276
2277
2278
2279
2280
2281
2282
2283
2284
2285
2286
2287
2288
2289
2290
2291
2292
2293
2294
2295
2296
2297
2298
2299
2300
2301
2302
2303
2304
2305
2306
2307
2308
2309
2310
2311
2312
2313
2314
2315
2316
2317
2318
2319
2320
2321
2322
2323
2324
2325
2326
2327
2328
2329
2330
2331
2332
2333
2334
2335
2336
2337
2338
2339
2340
2341
2342
2343
2344
2345
2346
2347
2348
2349
2350
2351
2352
2353
2354
2355
2356
2357
2358
2359
2360
2361
2362
2363
2364
2365
2366
2367
2368
2369
2370
2371
2372
2373
2374
2375
2376
2377
2378
2379
2380
2381
2382
2383
2384
2385
2386
2387
2388
2389
2390
2391
2392
2393
2394
2395
2396
2397
2398
2399
2400
2401
2402
2403
2404
2405
2406
2407
2408
2409
2410
2411
2412
2413
2414
2415
2416
2417
2418
2419
2420
2421
2422
2423
2424
2425
2426
2427
2428
2429
2430
2431
2432
2433
2434
2435
2436
2437
2438
2439
2440
2441
2442
2443
2444
2445
2446
2447
2448
2449
2450
2451
2452
2453
2454
2455
2456
2457
2458
2459
2460
2461
|
<?xml version="1.0" encoding="ISO-8859-15"?>
<!DOCTYPE article PUBLIC "-//OASIS//DTD DocBook XML V4.4//EN"
"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd">
<article lang="fr">
<!--$Id$-->
<articleinfo>
<title>FAQ Shorewall</title>
<subtitle>Version Franaise de <foreignphrase lang="en"><ulink
url="http://www.shorewall.net/FAQ.html">Shorewall
FAQs</ulink></foreignphrase></subtitle>
<authorgroup>
<corpauthor>Shorewall Community</corpauthor>
<author>
<firstname>Tom</firstname>
<surname>Eastep</surname>
</author>
<othercredit role="translator">
<firstname>Guy</firstname>
<surname>Marcenac</surname>
<contrib>Adaptation franaise</contrib>
</othercredit>
</authorgroup>
<pubdate><?dbtimestamp format="Y/m/d"?></pubdate>
<copyright>
<year>2001-2006</year>
<holder>Thomas M. Eastep</holder>
<holder>Guy Marcenac</holder>
</copyright>
<legalnotice>
<para>Permission est accorde de copier, distribuer et/ou modifier ce
document selon les termes de la Licence de Documentation Libre GNU (GNU
Free Documentation License), version 1.2 ou toute version ultrieure
publie par la Free Software Foundation ; sans section Invariables, sans
premire de Couverture, et sans texte de quatrime de couverture. Une
copie de la prsente Licence est incluse dans la section intitule. Une
traduction franaise de la licence se trouve dans la section
<quote><ulink url="http://cesarx.free.fr/gfdlf.html">Licence de
Documentation Libre GNU</ulink></quote>. Ce paragraphe est une
traduction franaise pour aider votre comprhension. Seul le texte
original en anglais prsent ci-dessous fixe les conditions
d'utilisation de cette documentation.</para>
<para>Permission is granted to copy, distribute and/or modify this
document under the terms of the GNU Free Documentation License, Version
1.2 or any later version published by the Free Software Foundation; with
no Invariant Sections, with no Front-Cover, and with no Back-Cover
Texts. A copy of the license is included in the section entitled <quote>
<ulink url="GnuCopyright.htm">GNU Free Documentation License</ulink>
</quote>.</para>
</legalnotice>
</articleinfo>
<note>
<para><emphasis role="underline">Notes du traducteur :</emphasis> Si vous
trouvez des erreurs ou si vous avez des amliorations apporter cette
traduction vous pouvez <ulink url="mailto:guy@posteurs.com">me
contacter</ulink>.</para>
</note>
<caution>
<para><emphasis role="bold">Cet article s'applique Shorewall 3.0 et
ses versions ultrieures. Si vous utilisez une version plus ancienne de
Shorewall, rfrez-vous la documentation s'appliquant votre
version.</emphasis></para>
</caution>
<section>
<title>Installation de Shorewall</title>
<section>
<title>O puis-je trouver des instructions d'installation et de
configuration pas pas ?</title>
<para><emphasis role="bold">Rponse:</emphasis> Allez voir les <ulink
url="shorewall_quickstart_guide.htm">guides de dmarrage
rapide</ulink>.</para>
</section>
<section id="faq37">
<title>(FAQ 37) Je viens d'installer Shorewall sur Debian et le
rpertoire /etc/shorewall est vide!!!</title>
<para><emphasis role="bold">Rponse:</emphasis></para>
<important>
<para>Aprs avoir install le paquetage .deb, avant de commencer
configurer Shorewall, vous devriez prendre connaissance de ce conseil
de Lorenzo Martignoni, le mainteneur Debian de Shorewall:</para>
<para><quote>Pour plus d'information quant l'utilisation de
Shorewall sur un systme Debian vous devriez aller voir le fichier
/usr/share/doc/shorewall/README.Debian distribu avec le paquetage
Debian de Shorewall.</quote></para>
</important>
<para>Si vous vous servez du .deb pour installer, vous vous rendrez
compte que votre rpertoire <filename>/etc/shorewall</filename> est
vide. Ceci est voulu. Les squelettes des fichiers de configuration se
trouvent sur votre systme dans le rpertoire <filename
class="directory">/usr/share/doc/shorewall/default-config</filename>.
Copiez simplement les fichiers dont vous avez besoin depuis ce
rpertoire dans <filename class="directory">/etc/shorewall</filename>,
puis modifiez ces copies.</para>
<para>Remarquez que vous devez copier
<filename>/usr/share/doc/shorewall/default-config/shorewall.conf</filename>
et <filename>/usr/share/doc/shorewall/default-config/modules</filename>
dans <filename
class="directory"><filename>/etc/shorewall</filename></filename> mme si
vous ne modifiez pas ces fichiers.</para>
</section>
<section id="faq44">
<title>(FAQ 44) Je n'arrive pas installer ou mettre jour le RPM -
J'ai le message d'erreur "error: failed dependencies:iproute is
needed..."</title>
<para><emphasis role="bold">Rponse</emphasis>: Lisez les <ulink
url="Install_fr.html">Instructions d'installation</ulink>!</para>
</section>
<section id="faq50">
<title>(FAQ 50) Quand j'installe ou que je mets jour, j'obtiens de
multiples instances du message suivant "warning: user teastep does not
exist - using root"</title>
<para><emphasis role="bold">Rponse:</emphasis> Vous pouvez sans aucun
risque ignorer ce message. Il tait d une erreur mineure de paquetage
qui a t corrige depuis. Cela ne change rien dans l'utilisation de
Shorewall.</para>
</section>
</section>
<section id="PortForwarding">
<title>Transfert de port (Redirection de Port)</title>
<section id="faq1">
<title>(FAQ 1) Je veux rediriger le port UDP 7777 vers mon PC personnel
qui a l'adresse 192.1683.1.5. J'ai cherch partout et je ne trouve pas
comment faire.</title>
<para><emphasis role="bold">Rponse:</emphasis> Le premier exemple de la
<ulink url="Documentation.htm#Rules">documentation du fichier
rules</ulink> vous indique comment faire du transfert de port avec
Shorewall. Le format d'une rgle de redirection de port vers un systme
local se prsente comme suit:</para>
<programlisting>#ACTION SOURCE DEST PROTO DEST PORT
DNAT net loc:<<emphasis>adresse IP locale</emphasis>>[:<<emphasis>port local</emphasis>>] <<emphasis>protocole</emphasis>> <<emphasis>n port</emphasis>></programlisting>
<para>Ainsi pour rediriger le port UDP 7777 vers le systme interne
192.168.1.5, la rgle est:</para>
<programlisting>#ACTION SOURCE DEST PROTO DEST PORT
DNAT net loc:192.168.1.5 udp 7777</programlisting>
<para>Si vous voulez rediriger vers un systme interne les requtes
envoyes une adresse donne (<emphasis><IP externe></emphasis>)
sur votre firewall:</para>
<programlisting>#ACTION SOURCE DEST PROTO DEST PORT SOURCE ORIGINAL
# PORT DEST.
DNAT net loc:<<emphasis>adresse IP locale</emphasis>>[:<<emphasis>port local</emphasis>>]<<emphasis>protocole</emphasis>> <<emphasis>n port</emphasis>> - <<emphasis>IP externe</emphasis>></programlisting>
<para>Enfin, si vous avez besoin de rediriger une plage de ports,
spcifiez la plage de ports <premier port>:<dernier port>
dans la colonne DEST PORT.</para>
<section id="faq1a">
<title>(FAQ 1a) D'accord -- j'ai suivi toutes ces instruction, mais
cela ne marche toujours pas.</title>
<para><emphasis role="bold">Rponse:</emphasis> Ceci se produit
gnralement lorsque:</para>
<itemizedlist>
<listitem>
<para>Vous tentez de tester depuis l'intrieur de votre firewall
(non, cela ne marchera pas -- allez voir la <link
linkend="faq2">FAQ 2</link> ).</para>
</listitem>
<listitem>
<para>Vous avez un problme plus lmentaire de configuration de
votre systme local (celui vers lequel vous tentez de rediriger
les paquets), une mauvaise passerelle par dfaut par exemple (elle
devrait tre configure avec l'adresse IP de l'interface interne
de votre firewall).</para>
</listitem>
<listitem>
<para>Votre FAI bloque le trafic entrant sur ce port
particulier.</para>
</listitem>
<listitem>
<para>Vous utilisez une version de Mandriva antrieure la 10.0
final et vous avez configur le partage de connexion internet. Si
c'est le cas, le nom de votre zone locale n'est pas 'loc' mais
'masq' (dans vos rgles changez toutes les instances de 'loc' pour
'masq'). Vous pouvez envisager de r-installer Shorewall avec une
configuration conforme la documentation de Shorewall. Voir le
guide <ulink url="two-interface_fr.html">Firewall deux
interfaces</ulink> pour plus de dtails.</para>
</listitem>
</itemizedlist>
</section>
<section id="faq1b">
<title>(FAQ 1b) J'ai malgr tout encore des problmes avec la
redirection de port</title>
<para><emphasis role="bold">Rponse:</emphasis> pour aller plus avant
dans le diagnostic du problme:</para>
<itemizedlist>
<listitem>
<para>En tant que root, tapez <quote> <command>iptables -t nat
-Z</command> </quote>. Ceci remet zro les compteurs Netfilter
de la table nat.</para>
</listitem>
<listitem>
<para>Essayez de vous connecter au port redirig depuis un hte
externe.</para>
</listitem>
<listitem>
<para>En tant que root, tapez <quote> <command>shorewall[-lite]
show nat</command> </quote></para>
</listitem>
<listitem>
<para>Reprez la rgle DNAT approprie. Elle sera dans une chane
nomme <<emphasis>zone source</emphasis>>_dnat
(<quote>net_dnat</quote> dans les exemples ci-dessus).</para>
</listitem>
<listitem>
<para>Est-ce que le dcompte de paquets dans la premire colonne
est suprieur zro ? Si cela est le cas, la requte de connexion
atteint le firewall et est bien redirige vers le serveur. Dans ce
cas, le problme vient en gnral de l'absence de paramtrage ou
d'un paramtrage erron de la passerelle par dfaut sur le systme
local (celui vers lequel vous essayez de transfrer les paquets --
sa passerelle par dfaut devrait tre l'adresse IP de l'interface
du firewall connecte ce systme local).</para>
</listitem>
<listitem>
<para>Si le dcompte de paquets est gal zro:</para>
<itemizedlist>
<listitem>
<para>La requte de connexion n'arrive pas jusqu' votre
serveur (il est possible que votre FAI bloque ce port)</para>
</listitem>
<listitem>
<para>Vous essayez de vous connecter une adresse IP
secondaire sur votre firewall et votre rgle ne redirige que
l'adresse IP primaire (dans votre rgle DNAT vous devez
spcifier l'adresse IP secondaire dans la colonne <quote>ORIG.
DEST.</quote>)</para>
</listitem>
<listitem>
<para>Pour d'autres raisons, votre rgle DNAT ne correspond
pas la requte de connexion. Dans ce cas, pour aller plus
loin dans le diagnostic, vous pourrez avoir vous servir d'un
<quote>sniffer</quote> de paquets comme tcpdump ou
ethereal.</para>
</listitem>
<listitem>
<para>Si le nombre de paquets est diffrent de zro, vrifiez
dans votre log si la connexion est droppe ou rejete. Si
c'est le cas, il est possible que vous ayez un problme de
dfinition de zone qui fasse que le serveur soit dans une zone
diffrente de ce qui est spcifi dans la colonne DEST. A
l'invite root, tapez "<command>shorewall[-lite] show
zones</command>" et assurez-vous que vous avez bien spcifi
dan la colonne DEST la <emphasis
role="bold">premire</emphasis> zone de la liste qui
correspond OUT=<dev> et DEST=<ip> dans le
message REJECT/DROP de votre fichier log.</para>
</listitem>
</itemizedlist>
</listitem>
</itemizedlist>
</section>
<section id="faq1c">
<title>(FAQ 1c) Je voudrais que lorsque je me connecte depuis internet
au port 1022 de mon firewall, cette connexion soit redirige vers le
port 22 de mon systme local 192.168.1.3. Comment faire ?</title>
<para><emphasis role="bold">Rponse</emphasis>:Dans le fichier
/<filename>etc/shorewall/rules</filename>:</para>
<programlisting>#ACTION SOURCE DEST PROTO DEST PORT
DNAT net loc:192.168.1.3:22 tcp 1022</programlisting>
</section>
<section id="faq1d">
<title>(FAQ 1d) J'ai un serveur web dans man DMZ et j'utilise le
transfert de port pour rendre ce serveur accessible depuis internet.
Cela fonctionne trs bien sauf lorsque mes utilisateurs locaux
essayent de se connecter au serveur en utilisant l'adresse IP externe
du firewall.</title>
<para><emphasis role="bold">Rponse</emphasis>: Supposons que:</para>
<itemizedlist>
<listitem>
<para>L'adresse IP externe est 206.124.146.176 sur <filename
class="devicefile">eth0</filename>.</para>
</listitem>
<listitem>
<para>L'adresse IP du serveur est 192.168.2.4</para>
</listitem>
</itemizedlist>
<para>Vous pouvez activer l'accs au serveur depuis votre rseau local
en utilisant l'adresse IP externe du firewall. Pour cela, vous pouvez
ajouter cette rgle:</para>
<programlisting>#ACTION SOURCE DEST PROTO DEST PORT(S) SOURCE ORIGINAL
# PORT DEST
DNAT loc dmz:192.168.2.4 tcp 80 - 206.124.146.176</programlisting>
<para>Si votre adresse IP externe est dynamique, vous devez faire
comme suit:</para>
<para>Dans <filename>/etc/shorewall/params</filename>:</para>
<programlisting><command>ETH0_IP=`find_interface_address eth0`</command> </programlisting>
<para>Pour les utilisateurs de 2.1.0 et des versions
ultrieures:</para>
<programlisting><command>ETH0_IP=`find_first_interface_address eth0`</command></programlisting>
<para>Et votre rgle DNAT deviendra:</para>
<programlisting>#ACTION SOURCE DEST PROTO DEST PORT SOURCE ORIGINAL
# PORT DEST.
DNAT loc dmz:192.168.2.4 tcp 80 - $ETH0_IP</programlisting>
</section>
<section id="faq1e">
<title>(FAQ 1e) Dans le but de dcourager les attaques en force brute,
je voudrais rediriger toutes les connexions internet arrivant sur un
port non standard (4104) vers le port 22 du firewall/routeur. J'ai
remarqu que lorsque je paramtre une rgle REDIRECT sur le firewall,
il ouvre sur internet les deux ports 4104 et 22 . Est-il possible de
rediriger seulement le port 4104 vers le port 22 de localhost et que
toutes les tentatives de connexion depuis internet au port 22 soient
ignores ?</title>
<para><emphasis role="bold">Rponse: </emphasis>avec l'aimable
autorisation de Ryan: en supposant que l'adresse de l'interface locale
de votre firewall soit 192.168.1.1, si vous configurez SSHD pour qu'il
n'coute que sur cette interface et que vous ajoutez la rgle
suivante, le port 4104 sera en coute sur internet et le port 22 sera
en coute sur votre LAN.</para>
<programlisting>#ACTION SOURCE DEST PROTO DEST PORT(S)
DNAT net fw:192.168.1.1:22 tcp 4104</programlisting>
</section>
</section>
<section id="faq30">
<title>(FAQ 30) Quand doit-on utiliser des rgles DNAT et quand doit-on
utiliser des rgles ACCEPT ?</title>
<para><emphasis role="bold">Rponse</emphasis>: Je vous suggre de
revenir au <ulink url="shorewall_quickstart_guide.htm">guides de
dmarrage rapide</ulink> adapt votre configuration. Ces guides
couvrent ce sujet sous un angle didactique. Vous devriez utiliser des
rgles DNAT pour les connexions qui doivent aller dans le sens inverse
de celles en provenance de la SNAT/Masquerade. Ainsi, si vous utilisez
la SNAT ou Masquerade depuis votre rseau local vers internet, vous
aurez besoin d'utiliser des rgles DNAT pour autoriser les connexions
d'internet vers votre rseau local. Vous utiliserez galement des rgles
DNAT si vous voulez r-crire l'adresse IP ou le numro de port
destination. Si vous avez besoin d'intercepter des connexions
lorsqu'elles arrivent sur le firewall et que vous voulez les traiter sur
le firewall lui-mme, vous utiliserez une rgle REDIRECT. Dans tous les
autres cas, vous utiliserez ACCEPT.</para>
</section>
<section>
<title>(FAQ 38) O trouver plus d'information sur la DNAT?</title>
<para><emphasis role="bold">Rponse</emphasis>: Ian Allen a crit cet
article au sujet de la <ulink url="http://ian.idallen.ca/dnat.txt">DNAT
et Linux</ulink>.</para>
</section>
<section id="faq48">
<title>(FAQ 48) Comment configurer un proxy transparent avec
Shorewall?</title>
<para><emphasis role="bold">Rponse</emphasis>: Vous pouvez voir <ulink
url="Shorewall_Squid_Usage.html">Shorewall et Squid</ulink>.</para>
</section>
</section>
<section>
<title>DNS et Transfert de Port/Traduction d'Adresses Rseau NAT</title>
<section id="faq2">
<title>(FAQ 2) Je transfre (port forward) toutes les requtes web
soumises www.mondomaine.com (IP 130.151.100.69) vers le systme
192.168.1.5 de mon rseau local. Les clients externes peuvent accder
http://www.mondomaine.com mais les clients internes ne le peuvent
pas.</title>
<para><emphasis role="bold">Rponse:</emphasis> j'ai deux objections
cette configuration.</para>
<itemizedlist>
<listitem>
<para>Avoir un serveur sur votre rseau local accessible depuis
internet est comme lever des loups cot de votre poulailler. Si
le serveur est compromis, il n'y a rien entre ce serveur et vos
autres systmes locaux. Pour le prix d'un adaptateur ethernet et
d'un cble crois, vous pouvez mettre votre serveur en DMZ de telle
faon qu'il soit isol de vos systmes locaux - en supposant que le
serveur puisse tre install cot de votre firewall, bien entendu
:-)</para>
</listitem>
<listitem>
<para>La meilleure solutions pour l'accessibilit votre serveur
est d'utiliser les <quote>vues</quote> de <ulink
url="shorewall_setup_guide_fr.htm#DNS">Bind Version 9</ulink> (ou
bien d'utiliser un serveur DNS spar pour les clients locaux) afin
que www.mondomaine.com soit rsolu en 130.141.100.69 pour les
clients externes et en 192.168.1.5 pour les clients internes. C'est
ce que je fait ici shorewall.net pour mes systmes locaux qui
utilisent la NAT un--un (one-to-one NAT).</para>
</listitem>
</itemizedlist>
<para>Supposons que votre interface externe soit eth0, que votre
interface interne soit eth1 et que eth1 ait l'adresse 192.168.1.254 sur
le sous-rseau 192.168.1.0/24:<warning>
<para>tout le trafic redirig par cette bidouille sera vu par le
serveur comme provenant du firewall (192.168.1.254) au lieu de venir
du client d'origine! Ce qui fait que les logs d'accs du serveur
seront inutilisables pour dterminer quels htes locaux accdent au
serveur.</para>
</warning></para>
<itemizedlist>
<listitem>
<para>Dans <filename>/etc/shorewall/interfaces</filename>:</para>
<programlisting>#ZONE INTERFACE BROADCAST OPTIONS
loc eth1 detect <emphasis role="bold">routeback</emphasis> </programlisting>
</listitem>
<listitem>
<para>Dans <filename>/etc/shorewall/masq</filename>:</para>
<programlisting>#INTERFACE SUBNET ADDRESS PROTO PORT(S)
eth1:192.168.1.5 eth1 192.168.1.254 tcp www</programlisting>
</listitem>
<listitem>
<para>Dans <filename>/etc/shorewall/rules</filename>:</para>
<programlisting>#ACTION SOURCE DEST PROTO DEST PORT SOURCE ORIGINAL
# PORT DEST.
DNAT loc loc:192.168.1.5 tcp www - 130.151.100.69</programlisting>
<para>Bien entendu, cette rgle ne fonctionnera que si vous avez une
adresse IP externe statique. Si vous avez une adresse dynamique vous
devez inclure ceci dans
<filename>/etc/shorewall/param</filename>s:</para>
<programlisting><command>ETH0_IP=`find_first_interface_address eth0`</command> </programlisting>
<para>et votre rgle DNAT deviendra:</para>
<programlisting>#ACTION SOURCE DEST PROTO DEST PORT SOURCE ORIGINAL
# PORT DEST.
DNAT loc loc:192.168.1.5 tcp www - $ETH0_IP</programlisting>
<para>Lorsque vous utilisez cette technique, il vous faudra
configurer votre client DHCP/PPPoE de faon ce qu'il relance
shorewall chaque fois qu'il obtient une nouvelle adresse IP.</para>
</listitem>
</itemizedlist>
<section id="faq2a">
<title>(FAQ 2a) J'ai une zone <quote>Z</quote> avec un sous-rseau RFC
1918 et j'utilise la NAT un--un (one-to-one NAT) pour assigner des
adresses non-RFC1918 aux htes de la zone <quote>Z</quote>. Les htes
dans la zone <quote>Z</quote> ne peuvent pas communiquer entre eux en
utilisant leur adresse externe (adresses non-FRC1918) et donc ils ne
peuvent pas communiquer en utilisant leurs noms DNS.</title>
<note>
<para>Si la colonne ALL INTERFACES dans le fichier
/etc/shorewall/nat est vide ou contient <quote>Yes</quote>, vous
verrez aussi dans votre journal des messages comme celui-ci chaque
fois que vous tenterez d'accder un hte de la zone Z depuis un
autre hte de la zone Z en utilisant son adresse publique:</para>
<programlisting>Oct 4 10:26:40 netgw kernel:
Shorewall:FORWARD:REJECT:IN=eth1 OUT=eth1 SRC=192.168.118.200
DST=192.168.118.210 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=1342 DF
PROTO=TCP SPT=1494 DPT=1491 WINDOW=17472 RES=0x00 ACK SYN URGP=0</programlisting>
</note>
<para><emphasis role="bold">Rponse:</emphasis> C'est encore un
problme trs bien rsolu par l'utilisation des <quote>vues</quote> de
<ulink url="shorewall_setup_guide_fr.htm#DNS">Bind Version 9</ulink>.
Les clients internes comme les clients externes peuvent alors accder
aux htes <quote>NATs</quote> en utilisant leur nom rseau.</para>
<para>Une autre bonne faon d'approcher le problme est d'abandonner
la NAT un--un au profit du Proxy ARP. De cette faon, les machines
dans Z ont des adresses non-RFC1918 et on peut y accder aussi bien
depuis l'intrieur que depuis l'extrieur en utilisant la mme
adresse.</para>
<para>Si vous n'aimez pas ces solutions et que vous prfrez btement
router tout le trafic de Z vers Z par votre firewall:</para>
<orderedlist>
<listitem>
<para>Activez l'option routeback sur l'interface vers Z.</para>
</listitem>
<listitem>
<para>Mettez <quote>Yes</quote> dans la colonne ALL INTERFACES du
fichier nat.</para>
</listitem>
</orderedlist>
<example>
<title>Exemple:</title>
<literallayout>Zone: dmz Interface: eth2 Ssous-rseau: 192.168.2.0/24 Addresse: 192.168.2.254</literallayout>
<para>Dans le fichier
<filename>/etc/shorewall/interfaces</filename>:</para>
<programlisting>#ZONE INTERFACE BROADCAST OPTIONS
dmz eth2 192.168.2.255 <emphasis role="bold">routeback</emphasis> </programlisting>
<para>Dans le fichier <filename>/etc/shorewall/na</filename>t,
assurez-vous d'avoir <quote>Yes</quote> dans la colonne ALL
INTERFACES.</para>
<para>Dans le fichier
<filename>/etc/shorewall/masq</filename>:</para>
<programlisting>#INTERFACE SUBNETS ADDRESS
eth2 eth2 192.168.2.254</programlisting>
<para>Tout comme dans la bidouille prsente dans la FAQ2 ci-dessus,
le trafic de la dmz vers la dmz semblera provenir du firewall et non
du vritable hte source.</para>
</example>
</section>
<section id="faq2b">
<title>(FAQ 2b) J'ai un serveur web dans ma DMZ et je me sers du
transfert de port pour le rendre accessible sur internet en tant que
www.mondomaine.com. Cela marche trs bien sauf pour mes utilisateurs
locaux lorsqu'ils tentent de se connecter
www.mondomaine.com.</title>
<para><emphasis role="bold">Rponse</emphasis>: Supposons que:</para>
<itemizedlist>
<listitem>
<para>L'adresse externe IP soit 206.124.146.176 sur <filename
class="devicefile">eth0</filename> (www.mondomaine.com).</para>
</listitem>
<listitem>
<para>L'adresse IP du serveur soit 192.168.2.4</para>
</listitem>
</itemizedlist>
<para>Vous pouvez autoriser les machines du rseau local accder
votre serveur en utilisant l'adresse IP externe du firewall. Il suffit
d'ajouter cette rgle:</para>
<programlisting>#ACTION SOURCE DEST PROTO DEST PORT(S) SOURCE ORIGINAL
# PORT DEST
DNAT loc dmz:192.168.2.4 tcp 80 - 206.124.146.176</programlisting>
<para>Si votre adresse IP externe vous est alloue dynamiquement, vous
devez faire comme suit:</para>
<para>Dans le fichier
<filename>/etc/shorewall/params</filename>:</para>
<programlisting><command>ETH0_IP=`find_first_interface_address eth0`</command> </programlisting>
<para>Et votre rgle DNAT deviendra:</para>
<programlisting>#ACTION SOURCE DEST PROTO DEST PORT SOURCE ORIGINAL
# PORT DEST.
DNAT loc dmz:192.168.2.4 tcp 80 - $ETH0_IP</programlisting>
<warning>
<para>Avec des adresses IP dynamiques, vous n'utiliserez pas
<command>shorewall[-lite] save</command> ni
<command>shorewall[-lite] restore</command>.</para>
</warning>
</section>
<section id="faq2c">
<title>(FAQ 2c) J'ai essay d'appliquer la rponse la FAQ 2 mon
interface externe et la zone net. Cela ne marche pas. Pourquoi
?</title>
<para><emphasis role="bold">Rponse</emphasis>: Avez-vous activ
<emphasis role="bold">IP_FORWARDING=On</emphasis> dans
<filename>shorewall.conf</filename>?</para>
</section>
</section>
</section>
<section>
<title>Netmeeting/MSN</title>
<section id="faq3">
<title>(FAQ 3) Je veux utiliser Netmeeting ou la messagerie instantane
MSN avec Shorewall. Que faire ?</title>
<para><emphasis role="bold">Rponse:</emphasis> Il existe un <ulink
url="http://www.kfki.hu/%7Ekadlec/sw/netfilter/newnat-suite/">module de
suivi de connexion H.323</ulink> qui est d'un grand secours avec
Netmeeting. Prenez cependant en compte cet article rcent d'un des
dveloppeurs de Netfilter:</para>
<blockquote>
<para><programlisting>> Je sais que PoM -ng va traiter ce problme, mais en attendant qu'il soit prt,
> et que tous les extras y soient ports, existe-t-il un moyen d'utiliser le patch
> noyau pour le module de suivi de connexion H.323 avec un noyau 2.6 ?
> j'utilise un noyau 2.6.1 et le noyau 2.4 n'est pas install sur le systme, c'est
> pourquoi je ne peux pas envisager de revenir en 2.4 ... et le module n'a pas
> encore t port en 2.6, dommage.
> Quelles options ai-je part d'installer une application gatekeeper (qui ne
> fonctionne pas dans mon rseau) ou un proxy (ce que je prfrerais viter) ?
Je suggre tous de configurer un proxy (gatekeeper): le module est vraiment
nul et ne mrite pas d'exister. a a t un trs bon outil de dveloppement et
de deboguage de l'interface newnat.</programlisting></para>
</blockquote>
<para>Vous pouvez aller voir <ulink url="UPnP.html">ici</ulink> une
solution pour la messagerie instantane MSN. Vous devez avoir conscience
que cette solution comporte des risques de scurit significatifs. Vous
pouvez galement vrifier auprs de la liste de diffusion de Netfilter
<ulink
url="http://www.netfilter.org">http://www.netfilter.org</ulink>.</para>
</section>
</section>
<section>
<title>Ports ouverts</title>
<section id="faq51">
<title>(FAQ 51) Comment ouvrir des ports dans Shorewall?</title>
<para><emphasis role="bold">Rponse:</emphasis> Aucune personne ayant
install Shorewall en utilisant un des <ulink
url="shorewall_quickstart_guide.htm">Guides de Dmarrage Rapide</ulink>
ne devrait avoir poser cette question.</para>
<para>Quel que soit le guide que vous avez utilis, toutes les
communications sortantes sont ouvertes par dfaut. Vous n'avez donc pas
"ouvrir de port" en sortie.</para>
<para>En entre:</para>
<itemizedlist>
<listitem>
<para>Si vous avez install en utilisant le guide Firewall Monoposte
(une interface), <ulink url="standalone_fr.htm#Open">relisez cette
section SVP</ulink>.</para>
</listitem>
<listitem>
<para>Si vous avez utilis le guide Firewall deux interfaces pour
installer merci de relire ces sections: <ulink
url="two-interface_fr.htm#DNAT">Transfert de ports (DNAT)</ulink>,
et <ulink url="two-interface_fr.htm#Open">Autres
connexions</ulink></para>
</listitem>
<listitem>
<para>Si vous avez utilis le guide Firewall trois interfaces pour
installer merci de relire ces sections: <ulink
url="three-interface.htm#DNAT">Transfert de ports (DNAT)</ulink> et
<ulink url="three-interface.htm#Open">Autres
Connexions</ulink></para>
</listitem>
<listitem>
<para>Si vous avez install en utilisant le <ulink
url="shorewall_setup_guide_fr.htm">Guide de configuration
Shorewall</ulink> vous feriez mieux de lire le guide nouveau --
vous avez vraiment rat beaucoup de choses.</para>
</listitem>
</itemizedlist>
<para>Voyez galement la <link linkend="PortForwarding">section
Transfert de Ports de cette FAQ</link>.</para>
</section>
<section id="faq4">
<title>(FAQ 4) Je viens juste d'utiliser un scanner de port en ligne
pour vrifier le paramtrage de mon firewall et certains ports
apparaissent <quote>ferms</quote> (closed) alors que d'autres sont
<quote>bloqus</quote> (blocked). Pourquoi ?</title>
<para><emphasis role="bold">Rponse:</emphasis> La configuration par
dfaut de Shorewall invoque l'action <emphasis
role="bold">Drop</emphasis> avant de mettre en oeuvre une politique
DROP, et la politique par dfaut d'internet vers toutes les zones est
DROP. L'action Drop est dfinie dans le fichier
<filename>/usr/share/shorewall/action.Drop</filename> qui invoque
lui-mme la macro <emphasis role="bold">Auth</emphasis> (dfinie dans le
fichier <filename>/usr/share/shorewall/macro.Auth</filename>) qui
spcifie l'action <emphasis role="bold">REJECT</emphasis> (c.a.d.,
<emphasis role="bold">Auth/REJECT</emphasis>). Cela est ncessaire pour
viter les problmes de connexion sortante des services qui utilisent
le mcanisme <quote>Auth</quote> pour identifier les utilisateurs. C'est
le seul service configur par dfaut pour rejeter (REJECT) les
paquets.</para>
<para>Si vous voyez d'autres ports TCP ferms autres que le port 113
(auth) c'est que vous avez ajout des rgles REJECT pour ces ports ou
bien qu'un routeur l'extrieur de votre firewall rpond aux requtes
de connexion sur ce port.</para>
<section id="faq4a">
<title>(FAQ 4a) Je viens d'excuter un scan UDP de mon firewall avec
nmap et il trouve des centaines de ports ouverts!!!!</title>
<para><emphasis role="bold">Rponse:</emphasis> Respirez fond et
lisez la section man de nmap au sujet des scans UDP. Si nmap n'a
<emphasis role="bold">aucun</emphasis> retour de votre firewall, il
donnera ce port comme tant ouvert. Si vous voulez voir quels sont les
ports UDP rellement ouverts, modifiez temporairement votre politique
net->all pour REJECT, relancez Shorewall et refaites le scan UDP
nmap.</para>
</section>
<section id="faq4b">
<title>(FAQ 4b) Quoi que je change dans mes rgles, Il y a un port que
je n'arrive pas fermer.</title>
<para>J'avais une rgle qui autorisait telnet de mon rseau local vers
mon firewall. Je l'ai enleve et j'ai relanc Shorewall mais ma
session telnet fonctionne encore!!!</para>
<para><emphasis role="bold">Rponse:</emphasis> Les rgles traitent de
l'tablissement de nouvelles connexions. Lorsqu'une connexion est
tablie par le firewall, elle restera utilisable jusqu' la
dconnexion tcp ou jusqu'au time out pour les autres protocoles. Si
vous fermez votre session telnet et que vous essayez d'tablir un
nouvelle session, votre firewall bloquera cette tentative.</para>
</section>
<section id="faq4c">
<title>(FAQ 4c) Comment utiliser Shorewall avec PortSentry?</title>
<para><ulink
url="http://www.shorewall.net/pub/shorewall/contrib/PortsentryHOWTO.txt"><emphasis
role="bold">Answer:</emphasis> Vous trouverez ici la
description</ulink> d'une bonne intgration de Shorewall et
PortSentry.</para>
</section>
</section>
<section>
<title>(FAQ 4d) Comment utiliser Shorewall avec Snort-Inline?</title>
<para><emphasis role="bold">Rponse:</emphasis> <ulink
url="http://www.catherders.com/tiki-view_blog_post.php?blogId=1&postId=71">Allez
voir cette contribution</ulink> de Michael Cooke.</para>
</section>
</section>
<section>
<title>Problmes de connexion</title>
<section id="faq5">
<title>(FAQ 5) J'ai install Shorewall et je ne peux plus
<quote>pinger</quote> travers le firewall</title>
<para><emphasis role="bold">Rponse:</emphasis> Pour une description
complte de la gestion du <quote>ping</quote> par Shorewall, voyez
<ulink url="ping.html">cette page</ulink>.</para>
</section>
<section id="faq15">
<title>(FAQ 15) Mes systmes locaux ne peuvent rien voir sur
internet</title>
<para><emphasis role="bold">Rponse:</emphasis> Chaque fois que je lis
<quote>mes systmes ne peuvent rien voir sur internet</quote>, je me
demande o l'auteur a bien pu acheter des ordinateurs avec des yeux et
ce que ces ordinateurs peuvent bien <quote>voir</quote> lorsque tout
fonctionne convenablement. Ceci mis part, les causes habituelles ce
type de problmes sont:</para>
<orderedlist>
<listitem>
<para>L'adresse de la passerelle par dfaut n'est pas configure
l'adresse de l'interface locale du firewall sur chacun des systmes
locaux.</para>
</listitem>
<listitem>
<para>L'entr pour le rseau local dans le fichier
<filename>/etc/shorewall/masq</filename> est errone ou
manquante.</para>
</listitem>
<listitem>
<para>La configuration du DNS sur les systmes locaux est mauvaise
ou bien l'utilisateur fait tourner un serveur DNS sur le firewall et
il n'a pas autoris le port 53 UDP et TCP de son firewall vers
internet.</para>
</listitem>
<listitem>
<para>Le forwarding n'est pas activ (ceci est souvent le cas pour
les utilisateurs Debian). Excutez cette commande:</para>
<programlisting>cat /proc/sys/net/ipv4/ip_forward</programlisting>
<para>Si la valeur est 0 (zro) mettez <emphasis
role="bold">IP_FORWARDING=On</emphasis> dans le fichier
<filename>/etc/shorewall/shorewall.conf</filename> et relancez
Shorewall.</para>
</listitem>
</orderedlist>
</section>
<section id="faq29">
<title>(FAQ 29) FTP ne fonctionne pas</title>
<para><emphasis role="bold">Rponse</emphasis>: Voir la page <ulink
url="FTP.html">Shorewall et FTP</ulink>.</para>
</section>
<section id="faq33">
<title>(FAQ 33) Depuis mes clients derrire le firewall les connexions
vers certains sites chouent. Les connexions vers les mmes sites, mais
depuis le firewall fonctionnent. Qu'est-ce qui ne va pas ?</title>
<para><emphasis role="bold">Rponse</emphasis>: Trs probablement, il
vous faudra mettre CLAMPMSS=Yes dans le fichier <ulink
url="Documentation.htm#Conf">/etc/shorewall/shorewall.conf</ulink>.</para>
</section>
<section id="faq35">
<title>(FAQ 35) J'ai deux interfaces ethernet vers mon rseau local que
j'ai montes en pont (bridge). Quand Shorewall est dmarr, je n'arrive
pas faire passer le trafic travers le pont. J'ai dfini l'interface
pont (br0) comme interface locale dans /etc/shorewall/interfaces. Les
interfaces ethernet <quote>pontes</quote> ne sont pas dfinies pour
Shorewall. Comment demander Shorewall d'autoriser le trafic travers
le pont ?</title>
<para><emphasis role="bold">Rponse</emphasis>: ajouter l'option
<firstterm>routeback</firstterm> l'interface <filename
class="devicefile">br0</filename> dans le fichier <ulink
url="Documentation.htm#Interfaces">/etc/shorewall/interfaces</ulink>.</para>
<para>Pour plus d'information sur ce type de configuration, voir la
documentation pour <ulink url="SimpleBridge.html">un pont simple avec
Shorewall</ulink>.</para>
</section>
</section>
<section>
<title>Journalisation</title>
<section id="faq6">
<title>(FAQ 6) O sont enregistrs les messages de journalisation et
comment modifier leur destination ?</title>
<para><emphasis role="bold">Rponse:</emphasis> NetFilter utilise
l'quivalent noyau de syslog (voir <quote>man syslog</quote>) pour
journaliser les messages. Il utilise toujours le dispositif LOG_KERN
(voir <quote>man openlog</quote>) et vous devez choisir le niveau de
journalisation (log level, voir <quote>man syslog</quote>) dans vos
<ulink url="Documentation.htm#Policy">politiques</ulink> et dans vos
<ulink url="Documentation.htm#Rules">rgles</ulink>. La destination des
messages journaliss par syslog est contrle avec
<filename>/etc/syslog.conf</filename> (voir <quote>man
syslog.conf</quote>). Lorsque vous avez modifi
<filename>/etc/syslog.conf</filename>, assurez-vous de redmarrer
syslogd (sur un systme RedHat, <quote>service syslog
restart</quote>).</para>
<para>Par dfaut, les versions plus anciennes de Shorewall limitaient le
taux de journalisation des messages grce des <ulink
url="Documentation.htm#Conf">paramtres</ulink> du fichier
<filename>/etc/shorewall/shorewall.conf</filename> -- Si vous voulez
journaliser tous les messages, positionnez ces paramtres comme
suit:</para>
<programlisting>LOGLIMIT=""
LOGBURST=""</programlisting>
<para>On peut galement <ulink url="shorewall_logging.html">paramtrer
Shorewall pour qu'il enregistre les messages de journalisation dans un
fichier spar</ulink>.</para>
<section id="faq6a">
<title>(FAQ 6a) Existe-t-il des analyseur de journal qui fonctionnent
avec Shorewall?</title>
<para><emphasis role="bold">Rponse:</emphasis> Voil plusieurs liens
qui peuvent vous aider:</para>
<literallayout>
<ulink url="http://www.shorewall.net/pub/shorewall/parsefw/">http://www.shorewall.net/pub/shorewall/parsefw/</ulink>
<ulink url="http://www.fireparse.com">http://www.fireparse.com</ulink>
<ulink url="http://cert.uni-stuttgart.de/projects/fwlogwatch">http://cert.uni-stuttgart.de/projects/fwlogwatch</ulink>
<ulink url="http://www.logwatch.org">http://www.logwatch.org</ulink>
<ulink url="http://gege.org/iptables">http://gege.org/iptables</ulink>
<ulink url="http://home.regit.org/ulogd-php.html">http://home.regit.org/ulogd-php.html</ulink>
</literallayout>
<para>Personnellement, j'utilise Logwatch. Il m'envoie chaque jour par
courriel un rapport pour chacun de mes diffrents systmes. Chaque
rapport rsume l'activit journalise sur le systme
correspondant.</para>
</section>
<section id="faq6b">
<title>(FAQ 6b) Mes journaux sont inonds de messages DROP pour des
requtes de connections sur le port 10619. Puis-je exclure
temporairement de la journalisation Shorewall les messages d'erreur
pour ce port ?</title>
<para><emphasis role="bold">Rponse</emphasis>: Ajoutez temporairement
la rgle suivante:</para>
<programlisting>#ACTION SOURCE DEST PROTO DEST PORT(S)
DROP net fw udp 10619</programlisting>
<para>Sinon, si vous ne mettez pas le paramtre BLACKLIST_LOGLEVEL et
que vous avez spcifi l'option 'blacklist' sur votre interface
externe dans le fichier
<filename>/etc/shorewall/interfaces</filename>, vous pouvez
blacklister le port. Dans le fichier
<filename>/etc/shorewall/blacklist</filename>:</para>
<programlisting>#ADDRESS/SUBNET PROTOCOL PORT
- udp 10619</programlisting>
</section>
<section id="faq6d">
<title>(FAQ 6d) Pourquoi l'adresse MAC dans les messages de
journalisation Shorewall est-elle si longue ? Je pensais que l'adresse
MAC ne faisait que 6 octets.</title>
<para><emphasis role="bold">Rponse</emphasis>: Ce qui est labelis
comme adresse MAC dans les messages de journalisation Shorewall est en
fait l'entte de la trame ethernet. Elle contient:</para>
<itemizedlist>
<listitem>
<para>l'adresse MAC de destination (6 octets)</para>
</listitem>
<listitem>
<para>l'adresse MAC source (6 octets)</para>
</listitem>
<listitem>
<para>le type de trame ethernet (2 octets)</para>
</listitem>
</itemizedlist>
<para><example>
<title>Exemple</title>
<para><programlisting>MAC=00:04:4c:dc:e2:28:00:b0:8e:cf:3c:4c:08:00</programlisting>
<itemizedlist>
<listitem>
<para>adresse MAC de destination = 00:04:4c:dc:e2:28</para>
</listitem>
<listitem>
<para>adresse MAC source = 00:b0:8e:cf:3c:4c</para>
</listitem>
<listitem>
<para>type de trame ethernet = 08:00 (IP Version 4)</para>
</listitem>
</itemizedlist></para>
</example></para>
</section>
</section>
<section id="faq16">
<title>(FAQ 16) Shorewall crit ses messages de journalisation
directement sur ma console et la rend inutilisable!</title>
<para><emphasis role="bold">Rponse:</emphasis></para>
<itemizedlist>
<listitem>
<para>Trouvez o klogd est dmarr (ce sera depuis un des fichiers
du rpertoire <filename class="directory">/etc/init.d</filename> --
sysklogd, klogd, ...). Modifiez ce fichier ou le fichier de
configuration appropri de telle manire que klogd soit dmarr avec
<quote>-c <emphasis><n></emphasis> </quote> avec
<emphasis><n></emphasis> tant un niveau de journalisation
infrieur ou gal 5; ou alors</para>
</listitem>
<listitem>
<para>Voir la page man de <quote>dmesg</quote> (<quote>man
dmesg</quote>). Vous devez ajouter une commande <quote>dmesg</quote>
adapte dans vos scripts de dmarrage ou la placer dans le fichier
<filename>/etc/shorewall/start</filename>.</para>
</listitem>
</itemizedlist>
<tip>
<para>Sous RedHat et Mandriva, le <ulink
url="shorewall_logging.html">niveau de journalisation</ulink> maximum
envoy la console est spcifi par la variable LOGLEVEL du fichier
<filename>/etc/sysconfig/init</filename>. Positionnez
<quote>LOGLEVEL=5</quote> pour liminer de la console les messages de
niveau info.</para>
</tip>
<tip>
<para>Sous Debian, vous pouvez mettre KLOGD=<quote>-c 5</quote> dans
le fichier <filename>/etc/init.d/klogd</filename> afin d'liminer de
la console les messages de niveau info (log level 6).</para>
</tip>
<tip>
<para>Sous SUSE, ajoutez <quote>-c 5</quote> KLOGD_PARAMS dans le
fichier <filename>/etc/sysconfig/syslog</filename> fin d'liminer de
la console les messages de niveau info (log level 6).</para>
</tip>
</section>
<section id="faq17">
<title>(FAQ 17) Pourquoi ces paquets sont-ils ignors/rejets
(dropped/rejected)? Comment dcode-t-on les messages de journalisation
Shorewall?</title>
<para><emphasis role="bold">Rponse:</emphasis> Avec Shorewall, les
paquets ignors/rejets peuvent avoir t journaliss en sortie d'un
certain nombre de chanes (comme indiqu dans le message):</para>
<variablelist>
<varlistentry>
<term>man1918 or logdrop</term>
<listitem>
<para>L'adresse destination est liste dans le fichier
<filename>/usr/share/shorewall/rfc1918</filename> avec une cible
<emphasis role="bold">logdrop</emphasis> -- voir <filename> <ulink
url="Documentation.htm#rfc1918">/usr/share/shorewall/rfc1918</ulink></filename>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>rfc1918 or logdrop</term>
<listitem>
<para>L'adresse source ou destination est liste dans le fichier
<filename>/usr/share/shorewall/rfc1918</filename> avec un cible
<emphasis role="bold">logdrop</emphasis> -- voir <filename> <ulink
url="Documentation.htm#rfc1918">/usr/share/shorewall/rfc1918</ulink></filename>.</para>
<note>
<para>Si vous voyez des paquets rejets par la chane rfc1918 et
que ni l'adresse IP source ni l'adresse IP de destination ne
sont rserves par la RFC 1918, cela provient la plupart du
temps d'un ancien fichier <filename>rfc1918</filename> dans
<filename class="directory">/etc/shorewall</filename> (ceci
arrive le plus frquemment lorsque vous utilisez une Debian ou
un de ses drivs). Le fichier <filename>rfc1918</filename>
incluait aussi bien les <emphasis>bogons</emphasis> que les
trois plages rserves par la RFC 1918. Il tait install dans
le rpertoire <filename
class="directory">/etc/shorewall</filename>. Maintenant le
fichier ne contient que les trois plages d'adresse de la RFC
1918 et il est install dans le rpertoire <filename
class="directory">/usr/share/shorewall</filename>. Retirez le
fichier rfc1918 prim de votre rpertoire <filename
class="directory">/etc/shorewall</filename>.</para>
</note>
</listitem>
</varlistentry>
<varlistentry id="all2all">
<term>all2<zone>, <zone>2all or all2all</term>
<listitem>
<para>Vous avez une <ulink
url="Documentation.htm#Policy">politique</ulink> qui spcifie un
niveau de journalisation et ce paquet a t journalis par cette
politique. Si vous voulez autoriser (ACCEPT) ce trafic, il vous
faudra une <ulink url="Documentation.htm#Rules">rgle</ulink>
cette fin.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><zone1>2<zone2></term>
<listitem>
<para>Ou bien vous avez une <ulink
url="Documentation.htm#Policy">politique</ulink> pour le trafic de
la <emphasis role="bold"><zone1></emphasis> vers la
<emphasis role="bold"><zone2></emphasis> qui spcifie un
niveau de journalisation et ce paquet a t journalis par cette
politique ou alors ce paquet correspond une <ulink
url="Documentation.htm#Rules">rgle</ulink> incluant un niveau de
journalisation.</para>
<para>A partir de Shorewall 3.3.3, les paquets loggs par ces
chaines peuvent avoir une source et/ou une destination
n'appartenant aucune zone dfinie (voir le rsultat de la
commande <command>shorewall[-lite] show zones</command>).
Souvenez-vous que l'appartenance une zone ncessite la fois
une interface du firewall et une adresse ip.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>@<source>2<dest></term>
<listitem>
<para>Vous avez une politique pour le trafic de <<emphasis
role="bold">source</emphasis>> vers <<emphasis
role="bold">dest</emphasis>> dans laquelle vous avez spcifi
un taux de limitation des connexions TCP (les valeurs dans la
colonne LIMIT:BURST). Les paquet journalis dpassait cette limite
et a t ignor (DROP). Il faut noter que ces messages au journal
sont eux-mme svrement limits afin qu'une inondation SYN
(syn-flood) ne provoque pas un dni de service (DOS) secondaire
par un nombre excessif de messages de journalisation. Ces messages
ont t introduits dans Shorewall 2.2.0 Beta 7.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><interface>_mac</term>
<listitem>
<para>Ce paquet a t journalis par l'<ulink
url="Documentation.htm#Interfaces">option d'interface</ulink>
<emphasis role="bold">maclist</emphasis> .</para>
</listitem>
</varlistentry>
<varlistentry>
<term>logpkt</term>
<listitem>
<para>Ce paquet a t journalis par l'<ulink
url="Documentation.htm#Interfaces">option d'interface</ulink>
<emphasis role="bold">logunclean</emphasis>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>badpkt</term>
<listitem>
<para>Ce paquet a t journalis par l'<ulink
url="Documentation.htm#Interfaces">option d'interface</ulink>
<emphasis role="bold">dropunclean</emphasis> tel que spcifi dans
le paramtre <emphasis role="bold">LOGUNCLEAN</emphasis> du
fichier <ulink url="Documentation.htm#Conf">
<filename>/etc/shorewall/shorewall.conf</filename>
</ulink>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>blacklst</term>
<listitem>
<para>Ce paquet a t journalis parce que l'adresse IP source est
inscrite dans la liste noire <filename><ulink
url="Documentation.htm#Blacklist">/etc/shorewall/blacklist</ulink></filename>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>INPUT or FORWARD</term>
<listitem>
<para>Ce paquet a une adresse IP source qui n'est dfinie dans
aucune de vos zones (<quote><command>shorewall[-lite] show
zones</command></quote> et regardez les dfinitions de zones) ou
alors la chane est FORWARD et l'adresse IP de destination ne
figure dans aucune de vos zones dfinies. Si la chane est FORWARD
et les interfaces IN et OUT sont identiques, vous avez sans doute
besoin de l'option <emphasis role="bold">routeback</emphasis> sur
cette interface dans le fichier <filename><ulink
url="Documentation.htm#Interfaces">/etc/shorewall/interfaces</ulink></filename>
ou bien vous avez besoin de l'option <emphasis
role="bold">routeback</emphasis> pour l'entre adquate dans le
fichier<filename> <ulink
url="Documentation.htm#Hosts">/etc/shorewall/hosts</ulink>
</filename>.</para>
<para>A partir de 3.3.3, de tels paquets peuvent aussi tre loggs
par les chaines <zone>2all et all2all.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>OUTPUT</term>
<listitem>
<para>Ce paquet a une adresse IP destination qui n'est dfinie
dans aucune de vos zones (<quote>shorewall check</quote> et
regardez les dfinitions de zones).</para>
<para>A partir Shorewall 3.3.3, de tels paquets peuvent aussi tre
loggs par les chaines fw2all et all2all.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>logflags</term>
<listitem>
<para>Ce paquet a t journalis parce qu'il a chou aux
contrles mis en oeuvre par l'<ulink
url="Documentation.htm#Interfaces">option d'interface</ulink>
<emphasis role="bold">tcpflags</emphasis>.</para>
</listitem>
</varlistentry>
</variablelist>
<example>
<title>Exemple:</title>
<programlisting>Jun 27 15:37:56 gateway kernel:
Shorewall:<emphasis role="bold">all2all:REJECT</emphasis>:<emphasis
role="bold">IN=eth2</emphasis>
<emphasis role="bold">OUT=eth1</emphasis>
<emphasis role="bold">SRC=192.168.2.2</emphasis>
<emphasis role="bold">DST=192.168.1.3 </emphasis>LEN=67 TOS=0x00 PREC=0x00 TTL=63 ID=5805 DF <emphasis
role="bold">PROTO=UDP</emphasis>
SPT=1803 <emphasis role="bold">DPT=53</emphasis> LEN=47</programlisting>
<para>Examinons les partie importantes de ce message:</para>
<variablelist>
<varlistentry>
<term>all2all:REJECT</term>
<listitem>
<para>Ce paquet a t rejet (REJECT) par la chane <emphasis
role="bold">all2all</emphasis> -- le paquet a t rejet par la
politique <quote>all</quote>-><quote>all</quote> REJECT (voir
<link linkend="all2all">all2all</link> ci-dessus).</para>
</listitem>
</varlistentry>
<varlistentry>
<term>IN=eth2</term>
<listitem>
<para>Le paquet est arriv dans le firewall par eth2. Lorsque
vous voyez <quote>IN=</quote> sans aucun nom d'interface, c'est
que le paquet provient du firewall lui-mme.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>OUT=eth1</term>
<listitem>
<para>Si il avait t autoris, ce paquet aurait t transmis
eth1. Lorsque vous voyez <quote>OUT=</quote> sans aucun nom
d'interface, c'est que le paquet aurait t trait par le
firewall lui-mme.</para>
<note>
<para>Lorsqu'une rgle DNAT est journalise, on n'a jamais de
OUT= parce que le paquet est journalis avant d'tre rout.
Par ailleurs, la journalisation DNAT donnera l'adresse IP
destination et le numro de port destination
d'<emphasis>origine</emphasis>.</para>
</note>
</listitem>
</varlistentry>
<varlistentry>
<term>SRC=192.168.2.2</term>
<listitem>
<para>Ce paquet a t envoy par 192.168.2.2</para>
</listitem>
</varlistentry>
<varlistentry>
<term>DST=192.168.1.3</term>
<listitem>
<para>Ce paquet a pour destination 192.168.1.3</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PROTO=UDP</term>
<listitem>
<para>Le protocole est UDP</para>
</listitem>
</varlistentry>
<varlistentry>
<term>DPT=53</term>
<listitem>
<para>Le port de destination est le port 53 (DNS)</para>
</listitem>
</varlistentry>
</variablelist>
<para>Pour plus d'informations concernant les messages de
journalisation, voir <ulink
url="http://logi.cc/linux/netfilter-log-format.php3">http://logi.cc/linux/netfilter-log-format.php3</ulink>.</para>
<para>Dans ce cas, 192.168.2.2 tait dans la zone <quote>dmz</quote>
et 192.168.1.3 tait dans la zone <quote>loc</quote>. Il me manquait
la rgle suivante:</para>
<programlisting>ACCEPT dmz loc udp 53</programlisting>
</example>
</section>
<section id="faq21">
<title>(FAQ 21) Je vois occasionnellement ces tranges messages dans mon
journal. De quoi s'agit-il?</title>
<programlisting>Nov 25 18:58:52 linux kernel:
Shorewall:net2all:DROP:IN=eth1 OUT=
MAC=00:60:1d:f0:a6:f9:00:60:1d:f6:35:50:08:00 SRC=206.124.146.179
DST=192.0.2.3 LEN=56 TOS=0x00 PREC=0x00 TTL=110 ID=18558 PROTO=ICMP
TYPE=3 CODE=3 [SRC=192.0.2.3 DST=172.16.1.10 LEN=128 TOS=0x00 PREC=0x00
TTL=47 ID=0 DF PROTO=UDP SPT=53 DPT=2857 LEN=108 ]</programlisting>
<para>192.0.2.3 est externe mon firewall... mon rseau local est
172.16.0.0/24</para>
<para><emphasis role="bold">Rponse:</emphasis> Bien que la plupart des
gens associent ICMP (Internet Control Message Protocol)
<quote>ping</quote>, ICMP est une pice cl de IP. ICMP sert informer
l'expditeur d'un paquet des problmes rencontrs. C'est ce qui se
produit ici. Malheureusement, de nombreuses implmentations ne
fonctionnent pas ds lors que la traduction d'adresses est implique (y
compris SNAT, DNAT et Masquerade). C'est ce que vous voyez avec
travers ces messages. Quand Netfilter renvoie ces messages, la partie
prcdent le "[" dcrit le paquet ICMP, et la partie entre "[" et "]"
dcrit le paquet pour lequel ICMP rpond.</para>
<para>Voici mon interprtation de ce qui se passe -- pour confirmer
l'analyse, il faudrait avoir un <quote>sniffeur</quote> de paquets
chacune des extrmits de la connexion.</para>
<para>L'hte 172.16.1.10 plac derrire la passerelle NAT
206.124.146.179 a envoy une requte DNS UDP 192.0.2.3 et votre
serveur DNS a tent d'envoyer un rponse (l'information en rponse est
entre les crochets -- remarquez le port source 53 qui indique qu'il
s'agit d'une rponse DNS). Quand la rponse a t envoye
206.124.146.179, le firewall a rcrit l'adresse IP destination
172.16.1.10 puis a fait suivre le paquet 172.16.1.10 qui n'avait plus
de connexion UDP sur le port 2857. Ceci provoque la gnration d'un
message ICMP port unreachable (type 3, code 3) en retour vers 192.0.2.3.
Ce paquet est renvoy par 206.124.146.179 qui change correctement
l'adresse source dans le paquet pour 206.124.146.179 mais ne modifie pas
de la mme faon l'IP destination dans la rponse DNS d'origine. Lorsque
le paquet ICMP atteint votre firewall (192.0.2.3), celui-ci n'a aucun
enregistrement lui indiquant qu'il a envoy une rponse DNS
172.16.1.10 et par consquent ce paquet ICMP semble n'tre associ
rien de ce qui a t envoy. Le rsultat est que ce paquet est
journalis et ignor (DROP) par la chane all2all. J'ai galement vu des
cas dans lesquels la source IP dans le paquet ICMP lui-mme n'est pas
r-crite l'adresse externe de la passerelle NAT distante. Dans ce cas
votre firewall va journaliser et ignorer (DROP) le paquet par la chane
rfc1918 cas son IP source est rserve par la RFC 1918.</para>
</section>
<section id="faq52">
<title>(FAQ 52) Quand je blackliste une adresse IP avec
"shorewall[-lite] drop www.xxx.yyy.zzz", pourquoi est-ce qu'il y a
toujours des entres REDIRECT et DNAT en provenance de cette adresse
dans mon journal ?</title>
<para>J'ai blacklist l'adresse 130.252.100.59 avec la commande
<command>shorewall drop 130.252.100.59</command> mais je vois toujours
ces messages dans le journal:</para>
<programlisting>Jan 30 15:38:34 server Shorewall:net_dnat:REDIRECT:IN=eth1 OUT= MAC=00:4f:4e:14:97:8e:00:01:5c:23:24:cc:08:00
SRC=130.252.100.59 DST=206.124.146.176 LEN=64 TOS=0x00 PREC=0x00 TTL=43 ID=42444 DF
PROTO=TCP SPT=2215 DPT=139 WINDOW=53760 RES=0x00 SYN URGP=0</programlisting>
<para><emphasis role="bold">Rponse</emphasis>: Veuillez vous rfrer
<ulink url="NetfilterOverview.html">Shorewall Netfilter
Documentation</ulink>. La journalisation des rgles REDIRECT et DNAT se
produit dans la chane PREROUTING de la table nat dans laquelle
l'adresse est toujours valide. Le blacklistage se produit dans les
chanes INPUT et FORWARD de la table filter qui ne sont traverses que
plus tard.</para>
</section>
<section id="faq56">
<title>(FAQ 56) Quand je dmarre ou redmarre Shorewall, je vois ces
messages dans mon fichier log. Est-ce grave ?</title>
<blockquote>
<programlisting>modprobe: Can't locate module ipt_physdev
modprobe: Can't locate module iptable_raw</programlisting>
</blockquote>
<para><emphasis role="bold">Rponse:</emphasis> Non. Ceci se produit
lorsque shorewall teste votre systme pour dterminer les fonctions
qu'il supporte. Ils ne prsentent aucun risque.</para>
</section>
</section>
<section>
<title>Routage</title>
<section id="faq32">
<title>(FAQ 32) J'ai deux connexions internet avec deux FAI diffrents
sur mon firewall. Comment le configurer avec Shorewall?</title>
<para><emphasis role="bold">Rponse</emphasis>: voir cet article sur
<ulink url="MultiISP.html">Shorewall et le routage</ulink>.</para>
</section>
<section id="faq49">
<title>(FAQ 49) Quand je dmarre Shorewall, ma table de routage est
dtruite. Pourquoi Shorewall fait-il cela?</title>
<para><emphasis role="bold">Rponse</emphasis>: Ceci est en gnral la
consquence d'une btise dans la configuration du NAT un--un
(one-to-one NAT):</para>
<orderedlist>
<listitem>
<para>Vous spcifiez l'adresse IP primaire d'une interface dans la
colonne EXTERNAL du fichier <filename>/etc/shorewall/nat</filename>
alors que la documentation et les commentaires dans le fichier vous
mettent en garde contre une telle configuration.</para>
</listitem>
<listitem>
<para>Vous spcifiez ADD_IP_ALIASES=Yes et RETAIN_ALIASES=No dans le
fichier <filename>/etc/shorewall/shorewall.conf</filename>.</para>
</listitem>
</orderedlist>
<para>Cette combinaison fait dtruire par Shorewall l'adresse primaire
de l'interface rseau spcifie dans la colonne INTERFACE, ce qui a en
gnral pour consquence de dtruire routes les routes sortantes de
cette interface. La solution est de <emphasis role="bold">ne pas
spcifier l'adresse primaire d'une interface dans la colonne
EXTERNAL</emphasis>.</para>
</section>
</section>
<section>
<title>Dmarrer et arrter Shorewall</title>
<section id="faq7">
<title>(FAQ 7) Quand j'arrte Shorewall avec la commande
<quote>shorewall[-lite] stop</quote>, je ne peux plus me connecter
quoi que ce soit. Pourquoi cette commande ne fonctionne-t-elle
pas?</title>
<para><emphasis role="bold">Rponse</emphasis>: La commande <quote>
<command>stop</command> </quote> est prvue pour mettre votre firewall
dans un tat de scurit o seuls les htes lists dans le fichier
<filename>/etc/shorewall/routestopped</filename> sont activs. Si vous
voulez ouvrir compltement votre firewall, il vous faut utiliser la
commande <quote><command>shorewall clear</command></quote>.</para>
</section>
<section id="faq8">
<title>(FAQ 8) Quand je tente de lancer Shorewall sur RedHat, je reois
des messages d'erreur insmod -- qu'est-ce qui ne va pas?</title>
<para><emphasis role="bold">Rponse:</emphasis> La sortie que vous avez
ressemble ceci:</para>
<programlisting>/lib/modules/2.4.17/kernel/net/ipv4/netfilter/ip_tables.o: init_module: Device or resource busy
Hint: insmod errors can be caused by incorrect module parameters, including invalid IO or IRQ parameters
/lib/modules/2.4.17/kernel/net/ipv4/netfilter/ip_tables.o: insmod
/lib/modules/2.4.17/kernel/net/ipv4/netfilter/ip_tables.o failed
/lib/modules/2.4.17/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed
iptables v1.2.3: can't initialize iptables table `nat': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.</programlisting>
<para>En gnral, ce problme est corrig par la squence de commandes
qui suit:</para>
<programlisting><command>service ipchains stop
chkconfig --delete ipchains
rmmod ipchains</command></programlisting>
<para>Par ailleurs, assurez-vous d'avoir vrifi dans l'<ulink
url="errata.htm">errata</ulink> que vous n'avez pas de problmes li
la version d'iptables (v1.2.3) distribue avec RH7.2.</para>
<section id="faq8a">
<title>(FAQ 8a) Quand je tente de lancer Shorewall sur une RedHat, je
reois un message qui me renvoie la FAQ #8</title>
<para><emphasis role="bold">Rponse:</emphasis> Ceci se traite en
gnral avec la squence de commandes prsente ci-dessus dans la
<xref linkend="faq8" />.</para>
</section>
</section>
<section id="faq9">
<title>(FAQ 9) Pourquoi Shorewall ne russit-il pas dtecter
convenablement mes interfaces au dmarrage?</title>
<para>Je viens d'installer Shorewall et quand je lance la commande
start, voil ce qui se passe :</para>
<programlisting>Processing /etc/shorewall/params ...
Processing /etc/shorewall/shorewall.conf ...
Starting Shorewall...
Loading Modules...
Initializing...
Determining Zones...
Zones: net loc
Validating interfaces file...
Validating hosts file...
Determining Hosts in Zones...
<emphasis role="bold">Net Zone: eth0:0.0.0.0/0
</emphasis><emphasis role="bold">Local Zone: eth1:0.0.0.0/0</emphasis>
Deleting user chains...
Creating input Chains...
...</programlisting>
<para>Pourquoi est-ce que Shorewall ne dtecte-t-il pas correctement mes
interfaces?</para>
<para><emphasis role="bold">Rponse:</emphasis> La sortie ci-dessus est
parfaitement normale. La zone Net est dfinie comme tant compose de
toutes les machines connectes eth0 et la zone Local est dfinie comme
tant compose de toutes celles connectes eth1. Si vous utilisez
Shorewall 1.4.10 ou une version plus rcente, vous pouvez envisager de
paramtrer l'<ulink url="Documentation.htm#Interfaces">option
d'interface</ulink> <emphasis role="bold">detectnet</emphasis> pour
votre interface locale (eth1 dans l'exemple ce-dessus). Ceci forcera
Shorewall restreindre la zone locale aux seuls rseaux routs par
cette interface.</para>
</section>
<section id="faq22">
<title>(FAQ 22) Je voudrais excuter certaines commandes iptables au
dmarrage de Shorewall. Dans quel fichier les mettre?</title>
<para><emphasis role="bold">Rponse</emphasis>: Vous pouvez placer ces
commandes dans une des <ulink
url="shorewall_extension_scripts.htm">Scripts d'Extension
Shorewall</ulink>. Assurez-vous de bien examiner le contenu des chanes
que vos commandes vont modifier afin d'tre certain que ces commandes
feront bien ce qu'elles sont censes faire. De nombreuses commandes
publies dans des guides (HOWTOs) ainsi que dans d'autres modes
opratoires font usage de la commande -A qui ajoute les rgles en fin de
chane. La plupart des chanes construites par Shorewall se terminent
par une rgle inconditionnelle DROP, ACCEPT ou REJECT et donc toute
rgle que vous pourriez ajouter aprs serait ignore. Consultez
<quote>man iptables</quote> et prenez connaissance de la commande -I
(--insert).</para>
</section>
<section id="faq34">
<title>(FAQ 34) Comment acclrer le dmarrage (start/restart)?</title>
<para><emphasis role="bold">Rponse</emphasis>: L'utilisation d'un shell
lger tel que <command>ash</command> peut diminuer de faon trs
significative le temps ncessaire pour dmarrer (<emphasis
role="bold">start</emphasis>/<emphasis role="bold">restart</emphasis>)
Shorewall. Voyez la variable SHOREWALL_SHELL dans le fichier
<filename><ulink url="Documentation.htm#Conf">shorewall.conf</ulink>
</filename>.</para>
<para>Utilisez un mulateur de terminal rapide -- en particulier la
console KDE dfile beaucoup plus vite que le terminal Gnome. Vous pouvez
galement utiliser l'option '-q' si vous redmarrez distance ou depuis
un terminal lent (ou rediriger la sortie vers un fichier comme dans
<command>shorewall restart > /dev/null</command>).</para>
<para>Mettez votre matriel niveau. De nombreux utilisateurs ont
constat que mme une amlioration modeste de la CPU et de la vitesse de
la mmoire (par exemple passer d'un P3 avec de la SDRAM un P4 avec de
la DDR) avait des effets trs significatifs. Les CPU dotes de la
technologie EM64T, aussi bien celles d'AMD que celles d'Intel, montrent
des performances de redmarrage trs acceptables, mme si vous avez un
jeu de rgles assez complexe.</para>
<para>Shorewall offre galement une fonction de dmarrage rapide. Pour
l'utiliser:</para>
<orderedlist>
<listitem>
<para>Avec Shorewall dans l'<ulink
url="starting_and_stopping_shorewall.htm">tat dmarr</ulink>,
excutez <command>shorewall save</command>. Cela va crer le script
<filename>/var/lib/shorewall/restore</filename>.</para>
</listitem>
<listitem>
<para>Utilisez l'option <emphasis role="bold">-f </emphasis>avec la
commande start (par exemple, <command>shorewall -f start</command>).
Ceci forcera Shorewall chercher le script
<filename>/var/lib/shorewall/restore</filename> et l'excuter si
il existe. Excuter <filename>/var/lib/shorewall/restore</filename>
prend beaucoup moins de temps que d'excuter un <command>shorewall
start</command> complet.</para>
</listitem>
<listitem>
<para>Le script <filename>/etc/init.d/shorewall</filename> excut
au dmarrage du systme utilise l'option <emphasis
role="bold">-f</emphasis>.</para>
</listitem>
<listitem>
<para>Le script <filename>/var/lib/shorewall/restore</filename> peut
tre excut tout moment pour restaurer le firewall. Il peut tre
invoqu directement ou bien indirectement en utilisant la commande
<command>shorewall restore</command>.</para>
</listitem>
</orderedlist>
<para>Si vous modifiez votre configuration de Shorewall, vous devez
excuter un <emphasis role="bold">shorewall start</emphasis> (sans
<emphasis role="bold">-f</emphasis>) ou un <command>shorewall
restart</command> avant de refaire un <command>shorewall save</command>.
La commande <command>shorewall save</command> sauvegarde la
configuration qui tournait au moment o elle a t excute et non celle
que reprsentent les fichiers de configuration que vous avez
modifis.</para>
<para>De mme, si vous modifiez votre configuration Shorewall et que
vous tes satisfait du rsultat, vous devez excuter une commande
<command>shorewall save</command>, sans quoi vous reviendriez
l'ancienne configuration enregistre dans
<filename>/var/lib/shorewall/restore</filename> lors du prochain
dmarrage de votre systme.</para>
<para>Finalement, le temps pendant lequel les nouvelles connexions sont
bloques durant le redmarrage de Shorewall peut tre rduit dans de
trs grande proportions en upgradant vers Shorewall 3.2 ou une version
ultrieure. A partir de la 3.2, <command>shorewall [re]start</command>
procde en deux tapes:</para>
<orderedlist>
<listitem>
<para>La configuration courante est compile afin de produire un
programme shell conu pour votre configuration.</para>
</listitem>
<listitem>
<para>Si la compilation se droule sans erreur, le programme compil
est excut pour [re]dmarrer votre firewall.</para>
</listitem>
</orderedlist>
</section>
<section id="faq43">
<title>(FAQ 43) Je viens d'installer le RPM Shorewall et Shorewall ne
dmarre pas au lancement du systme (boot).</title>
<para><emphasis role="bold">Rponse</emphasis>: Quand vous installez
avec la commande "rpm -U", Shorewall n'excute pas les outils de votre
distribution qui configurent le dmarrage de Shorewall. Vous devrez
excuter cet outils vous-mme (insserv, chkconfig, run-level editor,
…) pour que Shorewall dmarre aux niveaux d'excutions
(run-level) auxquels vous voulez l'utiliser.</para>
</section>
<section id="faq45">
<title>(FAQ 45) Pourquoi est-ce que "shorewall[-lite] start" choue
lorsque je tente de mettre en place SNAT/Masquerade?</title>
<para><command>shorewall start</command> produit la sortie
suivante:</para>
<programlisting>…
Processing /etc/shorewall/policy...
Policy ACCEPT for fw to net using chain fw2net
Policy ACCEPT for loc0 to net using chain loc02net
Policy ACCEPT for loc1 to net using chain loc12net
Policy ACCEPT for wlan to net using chain wlan2net
Masqueraded Networks and Hosts:
iptables: Invalid argument
ERROR: Command "/sbin/iptables -t nat -A …" Failed</programlisting>
<para><emphasis role="bold">Rponse</emphasis>: Dans 99.999% des cas,
cette erreur provient d'un problme de comptabilit des versions
d'iptables et du noyau.</para>
<orderedlist numeration="loweralpha">
<listitem>
<para>Votre iptables doit tre compil en utilisant un arbre de
sources du noyau qui soit compatible au niveau Netfilter avec le
noyau que vous excutez sur votre systme.</para>
</listitem>
<listitem>
<para>Si vous recompilez iptables avec les paramtres par dfaut
puis que vous l'installez, il sera install dans
<filename>/usr/local/sbin/iptables</filename>. Comme on peut le voir
ci-dessus, votre variable IPTABLES est configure
<filename>/sbin/iptables</filename> dans votre fichier
<filename>shorewall.conf</filename>.</para>
</listitem>
</orderedlist>
</section>
<section id="faq59">
<title>(FAQ 59) Aprs le dmarrage de Shorewall, de nombreux modules
netfilter inutiliss sont chargs. Comment viter cela ?</title>
<para><emphasis role="bold">Rponse</emphasis>: Copiez
<filename>/usr/share/shorewall/modules</filename> (ou
<filename>/usr/share/shorewall/xmodules</filename> suivant le cas) vers
<filename>/etc/shorewall/modules</filename> et modifiez cette copie pour
qu'elle ne contienne que les modules dont vous avez besoin.</para>
</section>
<section id="faq61">
<title>(FAQ 61) Je viens juste d'installer le nouveau kernel Debian, et
maintenant "shorewall start" choue avec le message "ipt_policy:
matchsize 116 != 308". Qu'est-ce qui ne va pas?</title>
<para><emphasis role="bold">Rponse</emphasis>: Votre version d'iptables
est incompatible avec votre kernel.</para>
<itemizedlist>
<listitem>
<para>recompilez iptables en utilisant les headers de votre nouveau
kernel; ou bien</para>
</listitem>
<listitem>
<para>si vous n'avez pas besoin du support de "policy match" (vous
n'utilisez pas l'implmentation IPSEC du kernel 2.6) vous pouvez
renommer <filename>/lib/iptables/libipt_policy.so</filename>.</para>
</listitem>
</itemizedlist>
</section>
</section>
<section>
<title>Multiples FAIs</title>
<section id="faq57">
<title>(FAQ 57) J'ai configur deux FAIs dans Shorewall mais quand
j'essaye d'utiliser le second, cela ne fonctionne pas.</title>
<para><emphasis role="bold">Rponse</emphasis>: La documentation
Multi-ISP vous recommande trs fortement d'utiliser l'option
d'quilibrage<emphasis role="bold"> (balance)</emphasis> pour tous les
FAIs mme si vous voulez spcifier manuellement quel FAI utiliser. Si
vous ne le faites pas et que votre table principale de routage n'a
qu'une seule route par dfaut, vous devez dsactiver le filtrage de
route. Ne spcifiez pas l'option <emphasis
role="bold">routefilter</emphasis> sur l'autre interface dans
<filename>/etc/shorewall/interfaces</filename> et dsactivez toute
protections contre <emphasis>le spoofing d'adresses IP</emphasis> que
votre distribution pourrait offrir.</para>
</section>
<section id="faq58">
<title>(FAQ 58) Mais si je spcifie 'balance' est-ce que shorewall ne va
pas quilibrer le trafic entre les interfaces ? Je ne veux pas qu'il le
fasse !</title>
<para><emphasis role="bold">Rponse</emphasis>: Supposez que vous
vouliez que tout le trafic passe par le FAI1 (mark 1) jusqu' ce que
vous spcifiez diffremment. Dans ce cas, ajoutez simplement ces deux
rgles comme premires rgles de marquage dans votre fichier
<filename>/etc/shorewall/tcrules</filename>:</para>
<programlisting>#MARK SOURCE DEST
1:P 0.0.0.0/0
1:P $FW
<other MARK rules></programlisting>
<para>Maintenant, tout le trafic qui n'est pas marqu par une de vos
autres rgles de marquage aura mark=1 et sera envoy par le FAI1. Ceci
fonctionnera que l'option <emphasis role="bold">balance</emphasis> soit
spcifie ou pas.</para>
</section>
</section>
<section>
<title>Au sujet de Shorewall</title>
<section id="faq10">
<title>(FAQ 10) Sur quelles distributions Shorewall tourne-t-il?</title>
<para><emphasis role="bold">Rponse</emphasis>: Shorewall fonctionnera
sur n'importe quelle distribution GNU/Linux distribution runissant les
<ulink url="shorewall_prerequisites.htm">pr-requis Shorewall</ulink>
indiqus dans ce document.</para>
</section>
<section id="faq11">
<title>(FAQ 11) Quelles sont les caractristiques de Shorewall ?</title>
<para><emphasis role="bold">Rponse</emphasis>: voir la <ulink
url="shorewall_features.htm">liste des caractristiques de
Shorewall</ulink>.</para>
</section>
<section id="faq12">
<title>(FAQ 12) Existe-t-il une interface graphique?</title>
<para><emphasis role="bold">Rponse:</emphasis> Oui. Webmin offre le
support de Shorewall 3.x partir dans sa version 1.300. Voir <ulink
url="http://www.webmin.com">http://www.webmin.com</ulink></para>
</section>
<section id="faq13">
<title>(FAQ 13) Pourquoi l'avez-vous appel
<quote>Shorewall</quote>?</title>
<para><emphasis role="bold">Rponse:</emphasis> Shorewall est le
rsultat de la concatnation de <quote>
<emphasis>Shore</emphasis>line</quote> (<ulink
url="http://www.cityofshoreline.com">la ville o je vis</ulink>) et de
<quote>Fire<emphasis>wall</emphasis> </quote>. En fait le nom complet du
produit est <quote>Shoreline Firewall</quote> mais on utilise plus
communment <quote>Shorewall</quote>.</para>
</section>
<section id="faq23">
<title>(FAQ 23) Pourquoi utilisez-vous des polices de caractres aussi
affreuses sur votre site web?</title>
<para><emphasis role="bold">Rponse</emphasis>: Le site web de Shorewall
est presque entirement neutre en ce qui concerne les polices (
l'exception de quelques pages il ne spcifie explicitement aucune
police). Les polices que vous voyez sont largement celles configures
par dfaut dans votre navigateur. Si vous ne les aimez pas reconfigurez
votre navigateur.</para>
</section>
<section id="faq25">
<title>(FAQ 25) Comment savoir quelle version de Shorewall ou de
Shorewall Lite j'utilise?</title>
<para><emphasis role="bold">Rponse</emphasis>: A l'invite du systme,
tapez:</para>
<programlisting><command>/sbin/shorewall[-lite] version</command> </programlisting>
</section>
<section id="faq31">
<title>(FAQ 31) Est-ce que Shorewall fournit une protection
contre....</title>
<variablelist>
<varlistentry>
<term>IP Spoofing: envoyer des paquets par l'interface WAN en se
servant d'adresses IP du rseau local comme adresse source?</term>
<listitem>
<para><emphasis role="bold">Rponse</emphasis>: Oui.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>Tear Drop: Envoyer des paquets contenant des fragments qui se
recouvrent ?</term>
<listitem>
<para><emphasis role="bold">Rponse</emphasis>: Ceci est de la
responsabilit de la pile IP, ce n'est pas celle d'un firewall
bas sur Netfilter car le r-assemblage des fragments est fait
avant que le filtre de paquets ne voie chaque paquet.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>Smurf and Fraggle: Envoyer des paquets qui utilisent comme
adresse source l'adresse de diffusion (broadcast) du WAN ou du
LAN?</term>
<listitem>
<para><emphasis role="bold">Rponse</emphasis>: On peut configurer
Shorewall pour le faire avec sa fonction de <ulink
url="blacklisting_support.htm">liste noire (blacklist)</ulink>. A
partir de la version 2.0.0, Shorewall filtre ces paquets avec
l'option d'interface <firstterm>nosmurfs</firstterm> dans le
fichier <ulink
url="Documentation.htm#Interfaces">/etc/shorewall/interfaces</ulink>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>Land Attack: Envoyer des paquets utilisant la mme adresse
comme source et comme destination?</term>
<listitem>
<para><emphasis role="bold">Rponse</emphasis>: Oui lorsque
l'<ulink url="Documentation.htm#Interfaces">option d'interface
routefilter</ulink> est slectionne.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>DOS: Dni de Service SYN Dos - ICMP Dos - protection DOS par
hte</term>
<listitem>
<para><emphasis role="bold">Rponse</emphasis>: Shorewall offre la
possibilit de limiter les paquets SYN les paquets ICMP. Netfilter
tel qu'il est inclus dans les noyaux Linux standard ne supporte
pas la mise en oeuvre de limitations par hte distant sauf en
utilisant une rgle explicite qui spcifie l'adresse IP de l'hte.
Cette forme de limitation est supporte par Shorewall.</para>
</listitem>
</varlistentry>
</variablelist>
</section>
<section id="faq36">
<title>(FAQ 36) Est-ce que Shorewall tourne sur le noyau Linux
2.6?</title>
<para><emphasis role="bold">Rponse</emphasis>: Shorewall fonctionne
avec les noyaux 2.6 avec les deux restrictions suivantes:</para>
<itemizedlist>
<listitem>
<para>Dans les noyaux 2.6 jusqu'au 2.6.16, Netfilter/iptables
n'offre pas un support complet d'IPSEC -- il existe des patch pour
le noyau et pour iptables. Vous trouverez des dtails la page
<ulink url="IPSEC-2.6.html">Shorewall IPSEC-2.6</ulink>.</para>
</listitem>
<listitem>
<para>Les noyaux 2.6 n'offrent pas le support des options logunclean
et dropunclean du fichier
<filename>/etc/shorewall/interfaces</filename>. Le support de ces
options a galement t retir de Shorewall dans la version
2.0.0.</para>
</listitem>
</itemizedlist>
</section>
</section>
<section>
<title>RFC 1918</title>
<section id="faq14">
<title>(FAQ 14) Je suis connect avec un modem cble qui a son propre
serveur web interne utilis pour le paramtrage et la supervision. Mais
bien entendu, si j'active le blocage des adresse de la RFC 1918 sur mon
interface internet eth0, le serveur web du modem est bloqu lui
aussi.</title>
<para>Est-il possible de rajouter une rgle avant la rgle de blocage
rfc1918 de faon autoriser tout le trafic en provenance et
destination de 192.168.100.1, adresse de mon modem, tout en continuant
filtrer les autres adresses rfc1918?</para>
<para><emphasis role="bold">Rponse</emphasis>: Ajoutez ce qui suit dans
le fichier <ulink
url="Documentation.htm#rfc1918">/etc/shorewall/rfc1918</ulink>
(Remarque: Si vous utilisez 2.0.0 ou une version ultrieure, il est
possible que ayez pralablement copier le fichier
<filename>/usr/share/shorewall/rfc1918</filename> vers
<filename>/etc/shorewall/rfc1918</filename>):</para>
<para>Assurez-vous d'ajouter l'entre AU-DESSUS de l'entre pour
192.168.0.0/16.</para>
<programlisting>#SUBNET TARGET
192.168.100.1 RETURN</programlisting>
<note>
<para>Si vous ajoutez une seconde adresse IP l'interface externe de
votre firewall qui corresponde l'adresse du modem, vous devez
ajouter une entre pour cette adresse dans le fichier
<filename>/etc/shorewall/rfc1918</filename>. Par exemple, si vous
configurez l'adresse 192.168.100.2 sur votre firewall, vous devrez
ajouter les deux entres suivantes dans le fichier
<filename>/etc/shorewall/rfc1918</filename>:</para>
<programlisting>#SUBNET TARGET
192.168.100.1 RETURN
192.168.100.2 RETURN</programlisting>
</note>
<section id="faq14a">
<title>(FAQ 14a) Bien qu'il assigne des adresses IP publiques, le
serveur DHCP de mon FAI a une adresse de la RFC 1918. Si j'active le
filtrage RFC 1918 sur mon interface externe, mon client DHCP ne peut
plus renouveler son bail.</title>
<para><emphasis role="bold">Rponse</emphasis>: La solution est la
mme que dans la <link linkend="faq14">FAQ 14</link> prsente
au-dessus. Substituez-y simplement l'adresse du serveur DHCP de votre
FAI.</para>
</section>
<section id="faq14b">
<title>(FAQ 14b) Je me connecte internet par PPPoE. Quand j'essaye
de me connecter au serveur web incorpor mon modem DSL, la connexion
est refuse.</title>
<para>Dans mon journal je peux voir ce qui suit:</para>
<programlisting>Mar 1 18:20:07 Mail kernel: Shorewall:OUTPUT:REJECT:IN= OUT=eth0 SRC=192.168.1.2 DST=192.168.1.1 LEN=60
TOS=0x00 PREC=0x00 TTL=64 ID=26774 DF PROTO=TCP SPT=32797 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 </programlisting>
<para><emphasis role="bold">Rponse</emphasis>: Le fait que le message
soit journalis par la chane OUTPUT signifie que l'adresse de
destination n'appartient aucune des zones dfinies (voir la <link
linkend="faq17">FAQ 17</link>). Vous devez:</para>
<orderedlist>
<listitem>
<para>Ajouter une zone pour votre modem dans le fichier
<filename>/etc/shorewall/zones</filename>:</para>
<programlisting>#ZONE TYPE OPTIONS
modem ipv4</programlisting>
</listitem>
<listitem>
<para>Dans le fichier
<filename>/etc/shorewall/interfaces</filename>, associer cette
zone avec l'interface laquelle votre modem est connect (eth0
dans l'exemple):</para>
<programlisting>#ZONE INTERFACE BROADCAST OPTIONS
modem eth0 detect</programlisting>
</listitem>
<listitem>
<para>Autoriser le trafic web vers le modem dans le fichier
<filename>/etc/shorewall/rules</filename>:</para>
<programlisting>#ACTION SOURCE DEST PROTO DEST PORT(S)
ACCEPT fw modem tcp 80
ACCEPT loc modem tcp 80</programlisting>
</listitem>
</orderedlist>
<para>Notez qu'un grand nombre de ces modems cable/DSL n'a pas de
passerelle par dfaut ou alors que leur passerelle par dfaut est
fixe une adresse IP diffrente de l'adresse que vous avez attribue
votre interface externe. Dans un cas comme dans l'autre, vous pouvez
avoir des difficults naviguer sur votre modem depuis votre rseau
local, mme si toutes les routes sont correctement tablies sur votre
firewall. Pour rsoudre ce problme, on <quote>masquerade</quote> le
trafic depuis rseau local vers le modem.</para>
<para><filename>/etc/shorewall/masq</filename>:</para>
<programlisting>#INTERFACE SUBNET ADDRESS
eth0 eth1 # eth1 = interface to local network</programlisting>
<para>A titre d'exemple lorsque le modem cable/ADSL est
<quote>pont</quote> (bridge), vous pouvez aller voir <ulink
url="XenMyWay.html">ma configuration</ulink>. Dans ce cas, je
<quote>masquerade</quote> en utilisant l'adresse IP de mon interface
locale!</para>
</section>
</section>
</section>
<section>
<title>Adresses Alias IP/Interfaces virtuelles</title>
<section id="faq18">
<title>(FAQ 18) Existe-t-il un moyen d'utiliser des adresses IP aliases
avec Shorewall, et de maintenir des jeux de rgles spars pour ces
diffrentes adresses IP?</title>
<para><emphasis role="bold">Rponse:</emphasis> Oui. Voyez <ulink
url="Shorewall_and_Aliased_Interfaces.html">Shorewall et les interfaces
aliases</ulink>.</para>
</section>
</section>
<section>
<title>Shorewall Lite</title>
<section id="faq53">
<title>(FAQ 53) Qu'est-ce que Shorewall Lite?</title>
<para><emphasis role="bold">Rponse</emphasis>: Shorewall Lite est un
produit partenaire de Shorewall. Il est conu pour vous permettre de
maintenir les informations de toutes vos configurations de Shorewall sur
un seul systme dans votre rseau. Pour plus de dtails, voir <ulink
url="CompiledPrograms.html#Lite">Compiled Firewall script
documentation</ulink>.</para>
</section>
<section id="faq54">
<title>(FAQ 54) Si je veux installer Shorewall Lite, est-ce que je dois
aussi installer Shorewall sur le mme systme ?</title>
<para><emphasis role="bold">Rponse</emphasis>: Non. En fait, nous
recommandons que vous n'installiez pas Shorewall sur les systmes sur
lesquels vous souhaitez utiliser Shorewall Lite. Vous devez avoir
install Shorewall sur au moins un des systmes de votre rseau pour
pouvoir utiliser Shorewall Lite.</para>
</section>
<section id="faq55">
<title>(FAQ 55) Comment dcider quel produit utiliser - Shorewall ou
Shorewall Lite?</title>
<para><emphasis role="bold">Rponse</emphasis>: Si vous prvoyez d'avoir
un seul firewall, Shorewall est le choix logique. Je pense aussi que
Shorewall est le choix le plus appropri pour un portable car vous
pouvez avoir changer sa configuration lorsque vous tes en
dplacement. Dans tous les autres cas, Shorewall Lite fonctionnera trs
bien. A shorewall.net, les deux portables ainsi que mon ordinateur de
bureau linux sont installs avec la version complte de Shorewall. Tous
les autres systmes Linux qui ont un firewall utilisent Shorewall Lite
et leurs rpertoires de configuration sont sur mon ordinateur de
bureau.</para>
</section>
<section id="faq60">
<title>(FAQ 60) Quelles restrictions de compatibilit existent entre
Shorewall et Shorewall Lite</title>
<para><emphasis role="bold">Rponse</emphasis>: Voir le tableau
ci-dessous (C = Compltement compatible avec toutes les fonctionnalits
disponibles, P1 = Compatible mais la totalit des fonctions de Shorewall
ne sont pas disponibles, P2 = Compatible mais la totalit des fonctions
de Shorewall Lite ne sont pas disponibles, I = incompatible).</para>
<informaltable align="center">
<tgroup cols="5">
<colspec align="center" />
<thead>
<row>
<entry align="center"></entry>
<entry align="center">Shorewall Lite 3.2.0</entry>
<entry align="center" morerows="">Shorewall Lite 3.2.1</entry>
<entry align="center">Shorewall Lite 3.2.2</entry>
<entry align="center">Shorewall Lite 3.2.3</entry>
</row>
</thead>
<tbody>
<row>
<entry><emphasis role="bold">Shorewall 3.2.0</emphasis></entry>
<entry align="center">C</entry>
<entry align="center">C</entry>
<entry align="center">P2</entry>
<entry align="center">P2</entry>
</row>
<row>
<entry><emphasis role="bold">Shorewall 3.2.1</emphasis></entry>
<entry align="center">C</entry>
<entry align="center">C</entry>
<entry align="center">C</entry>
<entry align="center">P2</entry>
</row>
<row>
<entry><emphasis role="bold">Shorewall 3.2.2</emphasis></entry>
<entry align="center">P1</entry>
<entry align="center">P1</entry>
<entry align="center">C</entry>
<entry align="center">C</entry>
</row>
<row>
<entry><emphasis role="bold">Shorewall 3.2.3</emphasis></entry>
<entry align="center">P1</entry>
<entry align="center">P1</entry>
<entry align="center">C</entry>
<entry align="center">C</entry>
</row>
</tbody>
</tgroup>
</informaltable>
</section>
</section>
<section>
<title>Divers</title>
<section id="faq20">
<title>(FAQ 20) Je viens d'installer un serveur. Dois-je modifier
Shorewall pour autoriser les accs internet mon serveur?</title>
<para><emphasis role="bold">Rponse </emphasis>: Oui. Consultez le
<ulink url="shorewall_quickstart_guide.htm">guides de dmarrage
rapide</ulink> que vous avez utilis pour votre configuration initiale
afin d'avoir des informations ncessaires l'criture des rgles pour
votre serveur.</para>
</section>
<section id="faq24">
<title>(FAQ 24) Comment puis-je autoriser des connexions internet au
port ssh, par exemple, mais seulement depuis certaines adresses IP
spcifiques?</title>
<para><emphasis role="bold">Rponse </emphasis>: Dans la colonne SOURCE
de la rgle, faites suivre <quote>net</quote> de <quote>:</quote> puis
d'une liste spare par des virgules d'adresses de machines ou de
sous-rseaux</para>
<programlisting>net:<ip1>,<ip2>,...</programlisting>
<example>
<title>Exemple:</title>
<programlisting>ACCEPT net:192.0.2.16/28,192.0.2.44 fw tcp 22</programlisting>
</example>
</section>
<section id="faq26">
<title>(FAQ 26) Quand j'essaye d'utiliser nmap avec n'importe laquelle
des options SYN depuis le firewall lui-mme ou depuis n'importe quelle
machine derrire le firewall, j'obtiens une erreur <quote>operation not
permitted</quote>. Comment utiliser nmap avec Shorewall?"</title>
<para><emphasis role="bold">Rponse </emphasis>: Retirez temporairement
les rgles rejNotSyn, dropNotSyn and dropInvalid du fichier
<filename>/etc/shorewall/rules</filename> et relancez Shorewall.</para>
</section>
<section id="faq27">
<title>(FAQ 27) Je compile un nouveau noyau (kernel) pour mon firewall.
A quoi devrais-je faire attention?</title>
<para><emphasis role="bold">Rponse </emphasis>: Commencez par regarder
la page de <ulink url="kernel.htm">configuration du noyau pour
Shorewall</ulink>. Vous souhaiterez sans doute vous assurer que vous
avez bien slectionn <quote> <emphasis role="bold">NAT of local
connections (READ HELP)</emphasis> </quote> dans le menu de
configuration de Netfilter. Sans cela, les rgles DNAT ayant votre
firewall comme zone source ne fonctionneraient pas avec votre nouveau
noyau.</para>
<section id="faq27a">
<title>(FAQ 27a) Je viens de compiler (ou j'ai tlcharg ou rcupr
par n'importe quel autre moyen) et d'installer un nouveau noyau et
Shorewall ne dmarre plus. Je sais que les options de mon noyau sont
correctes.</title>
<para>Les dernires lignes de la <ulink url="troubleshoot.htm">trace
de dmarrage</ulink> sont les suivantes:</para>
<programlisting>+ run_iptables2 -t nat -A eth0_masq -s 192.168.2.0/24 -d 0.0.0.0/0 -j
MASQUERADE
+ '[' 'x-t nat -A eth0_masq -s 192.168.2.0/24 -d 0.0.0.0/0 -j
MASQUERADE' = 'x-t nat -A eth0_masq -s 192.168.2.0/24 -d 0.0.0.
0/0 -j MASQUERADE' ']'
+ run_iptables -t nat -A eth0_masq -s 192.168.2.0/24 -d 0.0.0.0/0 -j
MASQUERADE
+ iptables -t nat -A eth0_masq -s 192.168.2.0/24 -d 0.0.0.0/0 -j
MASQUERADE
iptables: Invalid argument
+ '[' -z '' ']'
+ stop_firewall
+ set +x</programlisting>
<para><emphasis role="bold">Rponse:</emphasis> votre noyau contient
des enttes incompatibles avec celles utilises pour compiler votre
programme <command>iptables</command>. Vous devez recompiler
<command>iptables</command> en utilisant l'arbre de sources de votre
nouveau noyau.</para>
</section>
</section>
<section id="faq28">
<title>(FAQ 28) Comment utiliser Shorewall en pont filtrant (Bridging
Firewall)?</title>
<para><emphasis role="bold">Rponse </emphasis>: Le support Shorewall
pour les ponts filtrant existe — <ulink url="bridge_fr.html">voir
ici pour les dtails</ulink>.</para>
</section>
<section id="faq39">
<title>(FAQ 39) Comment bloquer les connexion un domaine
particulier?</title>
<para>J'ai essay de bloquer Adsense de Google. Adsense est un
Javascript que les gens ajoutent leur pages web. J'ai ajout la rgle
suivante:</para>
<programlisting>#ACTION SOURCE DEST PROTO
REJECT fw net:pagead2.googlesyndication.com all</programlisting>
<para>Cependant, ceci bloque parfois les accs "google.com". Pourquoi?
Avec dig, je trouve les adresses IP suivantes pour le domaine
googlesyndication.com:<programlisting>216.239.37.99
216.239.39.99</programlisting>Et celles-ci pour google.com:<programlisting>216.239.37.99
216.239.39.99
216.239.57.99</programlisting>Je suppose donc que ce n'est pas le domaine qui
est bloqu mais plutt ses adresses IP. Comment bloquer rellement un
nom de domaine?</para>
<para><emphasis role="bold">Rponse:</emphasis> Les filtres de paquets
basent leurs dcisions sur le contenu des diffrents enttes de
protocole qui se trouvent au dbut de chaque paquet. Les filtres de
paquet suivi d'tats (dont Netfilter est un exemple) utilisent une
combinaison du contenu de l'entte et de l'tat de la connexion cr
lors du traitement de paquets prcdents. Netfilter (et l'usage qui en
est fait par Shorewall) prend galement en compte l'interface rseau sur
laquelle chaque paquet est entr ou sur laquelle le paquet va quitter le
routeur/firewall.</para>
<para>Lorsque vous spcifiez un <ulink
url="configuration_file_basics.htm#dnsnames">nom de domaine dans une
rgle Shorewall</ulink>, le programme iptables rsout ce nom en une ou
plusieurs adresses IP et les vritables rgles qui seront cres sont
exprimes avec ces adresses IP. C'est pourquoi la rgle que vous avez
entre est quivalente :</para>
<para><programlisting>#ACTION SOURCE DEST PROTO
REJECT fw net:216.239.37.99 all
REJECT fw net:216.239.39.99 all</programlisting>Sachant que
l'hbergement multiple bas sur le nom d'hte est une pratique courante
(par exemple, lists.shorewall.net et www1.shorewall.net sont hbergs
tous les deux sur le mme systme avec un seule adresse IP), il n'est
pas possible de filtrer les connexions vers un nom particulier au seul
examen des enttes de protocole. Alors que certains protocoles tels que
<ulink url="FTP.html">FTP</ulink> ncessitent que le firewall examine et
ventuellement modifie les donnes (payload) du paquet, analyser les
donnes de paquets individuellement ne fonctionne pas toujours car le
flux de donnes de niveau application peut tre fractionn de manire
arbitraire entre les paquets. Ceci est une des faiblesses de l'extension
'string match' de Netfilter que l'on trouve dans le Patch-O-Matic-ng. Le
seul moyen sr pour filtrer sur le contenu des paquets est d'utiliser un
proxy pour les connexions concernes -- dans le cas de HTTP, on pourra
utiliser une application telle que <ulink
url="Shorewall_Squid_Usage.html">Squid</ulink>. Lorsqu'on utilise un
proxy, celui-ci r-assemble des messages complets de niveau applicatif
qui peuvent alors tre analyss de manire prcise.</para>
</section>
<section id="faq42">
<title>(FAQ 42) Comment connatre quelles sont les fonctions supportes
par mon noyau et ma version d'iptables?</title>
<para><emphasis role="bold">Rponse</emphasis>: En tant que root,
utilisez la commande <command>shorewall[-lite] show
capabilities</command>.</para>
<programlisting>gateway:~# shorewall show capabilities
Loading /usr/share/shorewall/functions...
Processing /etc/shorewall/params ...
Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Shorewall has detected the following iptables/netfilter capabilities:
NAT: Available
Packet Mangling: Available
Multi-port Match: Available
Extended Multi-port Match: Available
Connection Tracking Match: Available
Packet Type Match: Available
Policy Match: Available
Physdev Match: Available
IP range Match: Available
Recent Match: Available
Owner Match: Available
Ipset Match: Available
ROUTE Target: Available
Extended MARK Target: Available
CONNMARK Target: Available
Connmark Match: Available
Raw Table: Available
gateway:~#</programlisting>
</section>
<section id="faq19">
<title>(FAQ 19) Comment ouvrir le firewall pour tout le trafic de/vers
le LAN?</title>
<para><emphasis role="bold">Rponse </emphasis>: Ajoutez ces deux
politiques:</para>
<programlisting>#SOURCE DESTINATION POLICY LOG LIMIT:BURST
# LEVEL
$FW loc ACCEPT
loc $FW ACCEPT </programlisting>
<para>Vous pouvez galement supprimer toutes les rgles ACCEPT de
$FW->loc et loc->$FW car ces rgles sont maintenant redondantes
avec les deux politiques fixes ci-dessus.</para>
</section>
</section>
</article>
|
