Linux 2.4 stateful firewall design

-About the author +A propos de l'auteur

-For technical questions about the content of this tutorial, contact the author, -Daniel Robbins, at drobbins@gentoo.org. +Pour toute question technique sur le contenu de ce guide, contactez l'auteur, +Daniel Robbins, � l'adresse suivante: +drobbins@gentoo.org.

-Residing in Albuquerque, New Mexico, Daniel Robbins was the President/CEO of -Gentoo Technologies, Inc., the creator of Gentoo Linux, an advanced Linux for -the PC, and the Portage system, a next-generation ports system for Linux. He has -also served as a contributing author for the Macmillan books Caldera OpenLinux -Unleashed, SuSE Linux Unleashed, and Samba Unleashed. Daniel has been involved -with computers in some fashion since the second grade, when he was first exposed -to the Logo programming language as well as a potentially dangerous dose of Pac -Man. This probably explains why he has since served as a Lead Graphic Artist at -SONY Electronic Publishing/Psygnosis. Daniel enjoys spending time with his wife, -Mary, and his new baby daughter, Hadassah. +R�sidant � Albuquerque, dans le Nouveau Mexique, Daniel Robbins a �t� le PDG de +Gentoo Technologies, Inc., le cr�ateur de Gentoo Linux, un syst�me +d'exploitation Linux moderne pour PC, et du syst�me Portage, un gestionnaire de +ports nouvelle g�n�ration pour Linux. Il a �galement �t� un des auteurs +contributeurs pour les livres Caldera OpenLinux Unleashed, SuSE Linux Unleashed, +et Samba Unleashed, parus aux �ditions Macmillan. Daniel a �t� au contact de +l'informatique depuis l'�cole �l�mentaire, quand il fut confront� au langage de +programmation Logo, ainsi qu'� une dose potentiellement dangereuse de Pac Man. +Cel� explique sans doute pourquoi il a depuis �t� employ� en tant que Chef +Infographiste chez SONY Electronic Publishing/Psygnosis. Daniel aime passer son +temps libre avec sa femme, Mary, et sa fille, Hadassah.

@@ -72,58 +77,61 @@ -First steps +Premi�res �tapes

-Defining our goal +Le but du jeu

-In this tutorial, we're going to put together a Linux stateful firewall. Our -firewall is going to run on a Linux laptop, workstation, server, or router; its -primary goal is to allow only certain types of network traffic to pass through. -To increase security, we're going to configure the firewall to drop or reject -traffic that we're not interested in, as well as traffic that could pose a -security threat. +Dans ce guide, nous allons b�tir un firewall stateful Linux. Notre firewall va +s'ex�cuter sur un ordinateur portable, de bureau, serveur ou routeur sous Linux; +son but principal est d'autoriser seulement certains types de traffic r�seau � +le traverser. Pour augmenter la s�curit�, nous allons configurer le firewall +pour ignorer ou rejeter le traffic qui ne nous interesse pas, ainsi que le +traffic potentiellement dangereux pour la s�curit�.

-Getting the tools +Les outils n�cessaires

-Before we start designing a firewall, we need to do two things. First, we need -to make sure that the iptables command is available. As root, type -iptables and see if it exists. If it doesn't, then we'll need to get it -installed first. Here's how we do that: +Avant de commencer � b�tir le firewall, il faut faire deux choses. Tout d'abord, +il faut s'assurer que la commande iptables est disponible sur la machine. +Pour cel�, en tant que super-utilisateur, tapez iptables et v�rifiez ce +que vous r�pond le shell. Si la commande n'existe pas, alors il nous faut +l'installer. Voil� comment faire :

+ # emerge iptables

-Kernel configuration +Configuration du noyau

-Once installed, you should have an iptables command available for use, as -well as the handy iptables man page (man iptables). Great; now all we -need is to make sure that we have the necessary functionality built into the -kernel. This tutorial assumes that you compile your own kernels. Head over to -/usr/src/linux, and type make menuconfig or make -xconfig; we're going to enable some kernel network functionality. +Une fois install�e, vous devez avoir une commande iptables disponible, +ainsi que la page de manuel qui lui correspond (man iptables). Bien; +maintenant il faut nous assurer que les fonctionnalit�s n�cessaires sont bien +activ�es dans le noyau. Ce guide suppose que vous compilez vos propres noyaux. +Dans le r�pertoire /usr/src/linux, tapez make menuconfig ou +make xconfig; nous allons choisir certaines fonctionnalit�s pour notre +noyau.

-Under the "Networking options" section, make sure that you enable at least the -following options: + Dans la section "Networking options" (dans le menu "Networking->Networking +Options" pour le noyau 2.6), assurez-vous d'activer au moins les options +suivantes:

+ <*> Packet socket
 [*] Network packet filtering (replaces ipchains)
 <*> Unix domain sockets
@@ -136,84 +144,88 @@
 
 
 
-Then, under the "IP: Netfilter Configuration ->" menu, enable every option so
-that we'll have full netfilter functionality. We won't use all the netfilter
-features, but it's good to enable them so that you can do some experimentation
-later on.
+Ensuite, dans le menu "IP: Netfilter Configuration ->", activez toutes les
+options, afin d'avoir toutes les fonctionnalit�s NetFilter disponibles pour
+votre firewall. Nous n'aurons pas besoin de toutes, mais vous pourrez ainsi plus
+tard mener quelques exp�riences avec ces options.
 
 
 
-There's one networking option under the "Networking options" category that you
-shouldn't enable: explicit congestion notification. Leave this option
-disabled:
+Il y a une fonctionnalit� dans la section "Networking options" que vous ne
+devriez pas activer: la notification explicite de congestion. Laissez
+cette option d�coch�e.
 
 
-+ [ ]   IP: TCP Explicit Congestion Notification support
 
 
 
-If this option is enabled, your Linux machine won't be able to carry on network
-communications with 8% of the Internet. When ECN is enabled, some packets that
-your Linux box sends out will have the ECN bit set; however, this bit freaks out
-a number of Internet routers, so it's very important that ECN is disabled.
+Si cette option est activ�e, votre machine Linux ne sera pas capable de
+supporter des communications r�seau avec environ 8% de l'Internet. Quand l'ECN
+est activ�e, certains paquets envoy�s par votre machine Linux auront le bit ECN
+valu� � 1. En pratique, ce bit engendre des comportements bizarres sur certains
+routeurs Internet, aussi vaut-il mieux garder l'ECN d�sactiv�e.
 
 
 
-OK, now that the kernel's configured correctly for our needs, compile a new one,
-install it, and reboot. Time to start playing with netfilter :)
+Maintenant que le noyau est configur� correctement, compilez-le, installez-le et
+rebootez. Nous pouvons maintenant nous amuser avec NetFilter :)

-Firewall design basics +Premiers pas

-In putting together our firewall, the iptables command is our friend. -It's what we use to interact with the network packet filtering rules in the -kernel. We'll use the iptables command to create new rules, list -existing rules, flush rules, and set default packet handling policies. This -means that to create our firewall, we're going to enter a series of iptables -commands, and here's the first one we're going to take a look at (please don't -type this in just yet!)... +Pour construire un firewall, la commande iptables sera votre meilleure +alli�e. Elle permet d'interagir avec les r�gles de filtrage de paquets au niveau +du noyau. Nous utiliserons la commande iptables pour cr�er de nouvelles +r�gles, afficher les r�gles existantes, en supprimer, et choisir la politique de +filtrage par d�faut. Ce qui signifie que la cr�ation d'un firewall se r�sume � +entrer une s�rie de commandes iptables, comme par exemple (ATTENTION, ne pas la +taper tout de suite !)

 # iptables -P INPUT DROP

-You're looking at an almost "perfect" firewall. If you type in this command, -you'll be incredibly well protected against any form of incoming malicious -attack. That's because this command tells the kernel to drop all incoming -network packets. While this firewall is extremely secure, it's a bit silly. But -before moving on, let's take a look at exactly how this command does what it -does. +Si vous voulez cr�er un firewall "quasiment" parfait, et que vous entrez cette +commande, vous serez absolument bien prot�g� contre toutes formes d'attaques +malicieuses. En effet, cette commande ordonne au noyau d'ignorer tous les +paquets r�seau entrants. Cependant, m�me si ce firewall est extr�mement +s�curis�, il est �galement un peu mauvais. Mais avant de continuer, essayons de +comprendre comment cette commande peut faire ce qu'elle fait.

-Setting chain policy +Modifier la politique par d�faut

-An iptables -P command is used to set the default policy for a chain of -packet filtering rules. In this example, iptables -P is used to set the -default policy for the INPUT chain, a built-in chain of rules that's applied to -every incoming packet. By setting the default policy to DROP, we tell the kernel -that any packets that reach the end of the INPUT rule chain should be dropped -(that is, discarded). And, since we haven't added any rules to the INPUT chain, -all packets reach the end of the chain, and all packets are dropped. +La commande iptables -P est utilis�e pour selectionner la politique par +d�faut pour une chaine de filtrage de paquets. Dans cet exemple, iptables +-P est utilis�e pour changer la politique par d�faut de la chaine INPUT, une +chaine pr�install�e qui est appliqu�e � chaque paquet entrant. En s�lectionnant +la potique par d�faut DROP, on indique au noyau que chaque paquet qui atteint la +fin de la chaine INPUT doit �tre dropp� (c'est � dire ignor�, supprim� de la +m�moire). Et comme nous n'avons pas encore ajout� de r�gles dans la chaine +INPUT, tous les paquets atteignent la fin de la chaine, et donc tous les paquets +sont ignor�s.

-Again, by itself this command is totally useless. However, it demonstrates a -good strategy for firewall design. We'll start by dropping all packets by -default, and then gradually start opening up our firewall so that it meets our -needs. This will ensure that our firewall is as secure as possible. +Encore une fois, � elle seule, cette commande est totalement inutile. Cependant, +elle montre une bonne strat�gie pour la construction d'un firewall. On commence +par ignorer tous les paquets par d�faut, puis on ouvre au fur et � mesure les +ports dont on a besoin. Cel� garantit que le firewall est aussi s�curis� que +possible.

@@ -221,109 +233,116 @@ -Defining rules +Definir ses r�gles

-A (small) improvement +Une (petite) am�lioration

-In this example, let's assume that we're designing a firewall for a machine with -two network interfaces, eth0 and eth1. The eth0 network card is connected to our -LAN, while the eth1 network card is attached to our DSL router, our connection -to the Internet. For such a situation, we could improve our "ultimate firewall" -by adding one more line: +Dans cet exemple, nous supposerons que nous construisons un firewall pour une +machine avec deux interfaces r�seau, nomm�es eth0 et eth1. L'interface eth0 est +connect�e sur notre LAN, tandis que eth1 est branch�e sur notre routeur DSL, qui +m�ne vers Internet. Dans une telle situation, nous am�liorerons notre "firewall +ultime" en rajoutant une ligne:

 # iptables -P INPUT DROP
 # iptables -A INPUT -i ! eth1 -j ACCEPT

-This additional iptables -A line adds a new packet filtering rule to the -end of our INPUT chain. After this rule is added, our INPUT chain consists of a -single rule and a drop-by-default policy. Now, let's take a look at what our -semi-complete firewall does. +Cette ligne suppl�mentaire iptables -A ajoute une nouvelle r�gle de +filtrage de paquets � la fin de la chaine INPUT. Apr�s avoir rajout� cette +r�gle, la chaine INPUT consiste en une r�gle unique et une r�gle DROP par +d�faut. Maintenant, voyons ce que fait notre firewall d�sormais � moiti� +termin�.

-Following the INPUT chain +Le long de la chaine INPUT...

-When a packet comes in on any interface (lo, eth0, or eth1), the netfilter code -directs it to the INPUT chain and checks to see if the packet matches the first -rule. If it does, the packet is accepted, and no further processing is -performed. If not, the INPUT chain's default policy is enforced, and the packet -is discarded (dropped). +Quand un paquet arrive sur l'une des interfaces (lo, eth0, ou eth1), le code de +NetFilter l'envoie sur la chaine INPUT et v�rifie s'il correspond � la premi�re +r�gle. Si c'est le cas, est accept�, et le traitement de ce paquet est termin�. +Sinon, la r�gle par d�faut de INPUT est appliqu�e, et le paquet est effac� +(DROP).

-That's the conceptual overview. Specifically, our first rule matches all packets -coming in from eth0 and lo, immediately allowing them in. Any packets coming in -from eth1 are dropped. So, if we enable this firewall on our machine, it'll be -able to interact with our LAN but be effectively disconnected from the Internet. -Let's look at a couple of ways to enable Internet traffic. +Voil� pour le point de vue conceptuel. Plus concr�tement, la premi�re r�gle +correspond � tous les paquets arrivant sur les interfaces eth0 et lo, et les +laisse passer. Tous les paquets arrivant sur l'interface eth1 sont dropp�s. +Donc, si nous activons ce firewall sur notre machine, il pourra int�ragir avec +notre LAN mais ne pourra pas communiquer avec Internet. Voyons comment autoriser +le traffic Internet, et ce de deux mani�res diff�rentes.

-Traditional firewalls +Firewalls traditionnels

-Obviously, for our firewall to be useful, we need to selectively allow some -incoming packets to reach our machine via the Internet. There are two approaches -to opening up our firewall to the point where it is useful: one uses static -rules, and the other uses dynamic, stateful rules. +Evidemment, pour que notre firewall serve � quelque chose, il nous faut +s�lectionner quels paquets seront autoris�s � atteindre notre machine en passant +par Internet. Il y a deux approches pour faire cel�: l'une utilise des r�gles +statiques, tandis que l'autre utilise des r�gles dynamiques, avec suivi d'�tat +(stateful).

-Let's take downloading Web pages as an example. If we want our machine to be -able to download Web pages from the Internet, we can add a static rule that will -always be true for every incoming http packet, regardless of origin: +Prenons pour exemple le cas du t�l�chargement de pages Web. Si nous voulons que +notre machine soit capable de recevoir les paquets correspondants au +t�l�chargement, nous pouvons ajouter une r�gle statique qui sera toujours vraie +pour les paquets HTTP entrants, quelle que soit leur origine:

 # iptables -A INPUT --sport 80 -j ACCEPT

-Since all standard Web traffic originates from a source port of 80, this rule -effectively allows our machine to download Web pages. However, this traditional -approach, while marginally acceptable, suffers from a bunch of problems. +Comme tout le traffic Web standard provient d'un serveur avec port source 80, +cette r�gle permet effectivement � votre machine de t�l�charger des pages Web. +Cependant, cette approche traditionnelle, bien qu'acceptable dans certains cas, +engendre de nombreux probl�mes.

-Traditional firewall bummers +Probl�mes des firewalls traditionnels

-Here's a problem: while most Web traffic originates from port 80, some doesn't. -So, while this rule would work most of the time, there would be rare instances -where this rule wouldn't work. For example, maybe you've seen a URL that looks -like this: "http://www.foo.com:81". This example URL points to a Web -site on port 81 rather than the default port 80, and would be unviewable from -behind our current firewall. Taking into account all these special cases can -quickly turn a fairly secure firewall into swiss cheese and quickly fill our -INPUT chain with a bunch of rules to handle the occasional oddball Web site. +Voil� le premier probl�me: bien que la plupart du traffic Web a pour origine un +port 80, ce n'est quelquefois pas vrai. Donc, cette r�gle marche, mais seulement +la plupart du temps. Par exemple, vous avez peut-�tre d�j� vu une URL du genre +"http://www.foo.com:81". Cette URL pointe vers un serveur Web h�berg� sur un +serveur �coutant sur le port 81 plut�t que le port 80 par d�faut, et est donc +invisualisable derri�re notre firewall. Prendre en compte toutes les exceptions +de ce genre va vite faire de notre firewall s�curis� un sac de noeuds et +remplira notre chaine INPUT avec un tas de r�gles pour g�rer chaque cas +particulier.

-However, the major problem with this rule is security related. Sure, it's true -that only traffic with a source port of 80 will be allowed through our firewall. -But the source port of a packet is not something that we have any control over, -and it can be easily altered by an intruder. For example, if an intruder knew -how our firewall were designed, he could bypass our firewall by simply making -sure that all his incoming connections originated from port 80 on one of his -machines! Because this static firewall rule is so easy to exploit, a more secure -dynamic approach is needed. Thankfully, iptables and kernel 2.4 provide -everything we need to enable dynamic, stateful filtering. +Cependant, le probl�me majeur de ce genre de r�gle est li� � la s�curit�. +Evidemment, il est vrai que seulement le traffic avec un port source 80 sera +autoris� � passer notre firewall. Mais le port source d'un paquet est un �l�ment +facilement manipulable par un attaquant. Par exemple, si un intrus connait la +fa�on dont notre firewall est con�u, il peut le contourner simplement en +s'assurant que toutes ses connexions entrantes viennent d'un port 80 de l'une de +ses machines ! Puisque cette r�gle statique est trop facile � contourner, il +nous faut une approche plus s�curis�e et dynamique. Heureusement, iptables et le +noyau 2.4 et sup�rieurs incluent tout ce dont nous avons besoin pour construire +un firewall dynamique et � suivi d'�tats.

@@ -331,136 +350,140 @@ -Stateful firewalls +Firewalls stateful

-State basics +Quelques mots sur les �tats

-Rather than opening up holes in our firewall based on static protocol -characteristics, we can use Linux's new connection tracking functionality to -make firewall decisions based on the dynamic connection state of packets. -Conntrack works by associating every packet with an individual bidirectional -communications channel, or connection. +Plut�t que de creuser des trous dans notre firewall en se basant sur des +caract�ristiques statiques des protocoles, on peut utiliser les nouvelles +fonctionnalit�s de suivi de connexion de Linux pour baser les d�cisions du +firewall sur l'�tat dynamique des paquets par rapport � la connexion. Conntrack +fonctionne en associant chaque paquet avec une et une seule communication +bidirectionnelle, ou connexion.

-For example, consider what happens when you use telnet or ssh to connect to a -remote machine. If you view your network traffic at the packet level, all you -see is a bunch of packets zipping from one machine to another. However, at a -higher level, this exchange of packets is actually a bidirectional -communications channel between your local machine and a remote machine. -Traditional (old-fashioned) firewalls only look at the individual packets, not -recognizing that they're actually part of a larger whole, a connection. +Par exemple, imaginons ce qui se passe lorsque vous utilisez telnet ou ssh pour +vous connecter sur une machine distante. Si vous regarder le traffic r�seau au +niveau paquets, tout ce que vous verez sera un tas de paquets passant d'une +machine sur l'autre. Cependant, � un niveau d'abstraction plus �lev�, cette +�change de paquets est en fait une communication bidirectionelle entre votre +machine locale et la machine distante. Les firewalls traditionnels ne font que +regarder chaque paquet ind�pendemment les uns des autres, sans se soucier qu'ils +fassent en r�alit� partie d'un tout, d'une connexion.

-Inside conntrack +Conntrack en d�tails

-That's where connection tracking technology comes in. Linux's conntrack -functionality can "see" the higher-level connections that are taking place, -recognizing your ssh session as a single logical entity. Conntrack can even -recognize UDP and ICMP packet exchanges as logical "connections", even though -UDP and ICMP are connectionless in nature; this is very helpful because it -allows us to use conntrack to handle ICMP and UDP packet exchanges. +C'est l� que la technologie de suivi de connexion entre en jeu. La +fonctionnalit� conntrack de Linux peut "voir" les connexions de haut niveau +lorsqu'elles ont lieu, reconnaissant votre session SSH comme une seule entit� +logique. Conntrack peut aussi reconna�tre les �changes de paquets UDP et ICMP +comme des "connexions" logiques, m�me si UDP et ICMP sont sans connexion par +nature; cel� est tr�s utile puisque sela permet d'utiliser conntrack pour g�rer +des �changes de paquets ICMP et UDP.

-If you've already rebooted and are using your new netfilter-enabled kernel, you -can view a list of active network connections that your machine is participating -in by typing cat /proc/net/ip_conntrack. Even with no firewall -configured, Linux's conntrack functionality is working behind the scenes, -keeping track of the connections that your machine is participating in. +Si vous avez d�j� red�marr� avec votre nouveau noyau avec NetFilter activ�, vous +pouvez voir une liste des connexions r�seau actives auquelles votre machine +participe en entrant cat /proc/net/ip_conntrack. M�me sans firewall +configur�, conntrack fonctionne en arri�re-plan, en gardant trace des connexions +�tablies ou re�ues par votre machine.

-The NEW connection state +Etat de connexion NEW

-Conntrack doesn't just recognize connections, it also classifies every packet -that it sees into one of four connection states. The first state that we're -going to talk about is called NEW. When you type ssh remote.host.com, the -initial packet or burst of packets that originate from your machine and are -destined for remote.host.com are in the NEW state. However, as soon as you -receive even just a single reply packet from remote.host.com, any further -packets you send to remote.host.com as part of this connection aren't considered -NEW packets anymore. So, a packet is only considered NEW when it's involved in -establishing a new connection, and no traffic has yet been received from the -remote host (as part of this particular connection, of course). +Conntrack ne fait pas que reconnaitre les connexions, il classe �galement chaque +paquet qu'il voit dans l'un des quatres �tats de connexion. Le premier �tat dont +nous allons parler est appel� NEW (nouveau). Quand vous tapez ssh +hote.distant.com, le premier paquet ou la premi�re rafale de paquets qui +sortent de votre machine et sont destin�s � hote.distant.com sont dans l'�tat +NEW. Cependant, d�s que vous aurez re�u ne serait-ce qu'un seul paquet de +hote.distant.com, tous les futurs paquets que vous enverrez � hote.distant.com +dans cette connexion ne seront plus consid�r�s comme des packets NEW. Pour +r�sumer, un paquet est consid�r� NEW lorsqu'il sert � �tablir une nouvelle +connexion, et qu'aucun trafic n'a �t� re�u de l'h�te distant en retour (dans le +cadre de cette connexion pr�cise, �videmment).

-I've described outgoing NEW packets, but it's also very possible (and common) to -have incoming NEW packets. Incoming NEW packets generally originate from a -remote machine, and are involved in initiating a connection with you. The -initial packet(s) your Web server receives as part of a HTTP request would be -considered incoming NEW packets; however, once you reply to just a single -incoming NEW packet, any additional packets you receive that are related to this -particular connection are no longer in the NEW state. +J'ai d�cris les paquets NEW sortants, mais il est �galement tout � fait possible +(et normal) d'avoir des paquets NEW entrants. Les paquets NEW entrants viennent +g�n�ralement d'une machine distante, et servent � �tablir une connexion avec +vous. Le(s) premier(s) paquet(s) que votre serveur Web re�oit pour une requ�te +HTTP sont consid�r�s comme des paquets NEW entrants; cependant, une fois que +vous aurez r�pondu � un seul de ces paquets, tous les autres paquets que vous +recevrez ne seront plus consid�r�s dans l'�tat NEW.

-The ESTABLISHED state +Etat de connexion ESTABLISHED

-Once a connection has seen traffic in both directions, additional packets -relating to this connection are considered to be in an ESTABLISHED state. The -distinction between NEW and ESTABLISHED is an important one, as we'll see in a -minute. +Une fois qu'une connexion a vue du trafic dans les deux sens, tous les nouveaux +paquets de cette connexion sont consid�r�s dans l'�tat ESTABLISHED (�tabli). La +distinction entre les �tats NEW et ESTABLISHED est tr�s importante, comme nous +le verrons dans un instant.

-The RELATED state +Etat de connexion RELATED

-The third connection state category is called RELATED. RELATED packets are those -that are starting a new connection, but are related to another currently -existing connection. The RELATED state can be used to regulate connections that -are part of a multi-connection protocol, such as ftp, as well as error packets -related to existing connections (such as ICMP error packets related to an -existing connection). +Le troisi�me �tat de connexion est appel� RELATED (en rapport avec). Les paquets +RELATED sont ceux qui �tablissent une nouvelle connexion, mais qui sont en +rapport avec une connexion d�j� existante. L'�tat RELATED peut �tre utilis� pour +filtrer des connexions qui font partie d'un protocole multi-connexion, comme +FTP, ainsi que les paquets d'erreur en rapport avec des connexions existantes +(comme les paquets d'erreur ICMP).

-The INVALID state +Etat de connexion INVALID

-Finally, there are INVALID packets: those that can't be classified into one of -the above three categories. It's important to note that if a packet is -considered INVALID, it isn't automatically discarded; it's still up to you to -insert the appropriate rules and set chain policy so that they're handled -correctly. +Pour terminer, il existe aussi les paquets INVALID: ce sont ceux qui ne peuvent +�tre class�s dans aucune des trois pr�c�dentes cat�gories. Il est important de +noter qu'un paquet consid�r� comme INVALID n'est pas automatiquement ignor�; +c'est � vous de choisir les r�gles appropri�es et d'ajuster les politiques pour +que ces paquets soient g�r�s de la mani�re que vous pr�f�rez.

-Adding a stateful rule +Ajout d'une r�gle stateful

-OK, now that we have a good understanding of connection tracking, it's time to -take a look at a single additional rule that transforms our non-functional -firewall into something quite useful: +Bien, maintenant que nous avons compris le suivi de connexion, il est temps de +jeter un oeil � une simple r�gle suppl�mentaire qui va transformer notre +firewall non-fonctionnel en quelque chose de plut�t utile.

+ # iptables -P INPUT DROP
 # iptables -A INPUT -i ! eth1 -j ACCEPT
 # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
@@ -469,95 +492,100 @@

-How the rule works +Fonctionnement de cette r�gle

-This single rule, when inserted at the end of our existing INPUT chain, will -allow us to establish connections with remote machines. It works as follows. -Let's say we want to ssh over to remote.host.com. After typing ssh -remote.host.com, our machine sends out a packet to initiate the connection. -This particular packet is in the NEW state, and our firewall allows it out, -because we're only blocking packets coming in to our firewall, not going out. +Cette simple r�gle, ins�r�e � la fin de votre chaine INPUT existante, va nous +permettre d'�tablir des connexions avec des machines distantes. Elle fonctionne +comme ceci: disons que l'on veuille faire du ssh vers hote.distant.com. Apr�s +avoir lanc� ssh hote.distant.com, notre machine envoie un paquet pour +�tablir la connexion. Ce paquet particulier est dans l'�tat NEW, et notre +firewall le laisse passer, puisque nous bloquons seulement les paquets qui +entrent dans notre firewall, pas qui en sortent.

-When we get a reply packet from remote.host.com, this packet trickles through -our INPUT chain. It doesn't match our first rule (since it comes in on eth1), so -it moves on to our next, and final rule. If it matches this rule, it will be -accepted, and if it doesn't, it will fall off the end of the INPUT chain and the -default policy will be applied to the packet (DROP). So, is this incoming reply -packet accepted or dropped on the floor? +Quand nous recevons une r�ponse de hote.distant.com, ce paquet passe par notre +chaine INPUT. Il ne correspond pas � la premi�re r�gle (puisqu'il arrive de +eth1), donc il passe � la seconde et derni�re r�gle. Si il correspond � cette +r�gle, il sera accept�, et sinon, il arrivera � la fin de la chaine INPUT et la +politique par d�faut lui sera appliqu�e (DROP). Alors, ce paquet entrant +sera-t'il accept� ou dropp� ?

-Answer: accepted. When the kernel inspects this incoming packet, it first -recognizes that it's part of an already existing connection. Then, the kernel -needs to decide whether this is a NEW or ESTABLISHED packet. Since this is an -incoming packet, it checks to see if this connection has had any outgoing -traffic, and finds that it has (our initial NEW packet that we sent out). -Therefore, this incoming packet is categorized as ESTABLISHED, as are any -further packets we receive or send that are associated with this connection. +R�ponse: accept�. Quand le noyau examine ce paquet entrant, il reconnait en +premier qu'il fait partie d'une connexion existante. Ensuite, le noyau doit +d�cider s'il s'agit d'un paquet NEW ou ESTABLISHED. Puisqu'il s'agit d'un paquet +entrant, il v�rifie si cette connexion a d�j� eu du trafic sortant, et trouve +que c'est le cas (le paquet NEW initial que nous avons envoy�). Ensuite, le +paquet entrant est class� ESTABLISHED, comme le seront tous les futurs paquets +re�us ou envoy�s qui seront associ�s avec cette connexion.

-Incoming NEW packets +Paquets NEW entrants

-Now, let's consider what happens if someone on a remote machine tries to ssh in -to us. The initial packet we receive is classified as NEW, and doesn't match -rule 1, so it advances to rule 2. Because this packet isn't in an ESTABLISHED or -RELATED state, it falls off the end of the INPUT chain and the default policy, -DROP, is applied. Our incoming ssh connection request is dropped to the floor -without so much as a reply (or TCP reset) from us. +Maintenant, consid�rons ce qui ce passe si quelqu'un sur une machine distante +essaie de se connecter en ssh chez nous. Le premier paquet que nous recevons est +marqu� NEW, et ne correspond pas � la r�gle 1, donc il passe � la r�gle 2. +Puisque ce paquet n'est pas dans l'�tat ESTABLISHED ou RELATED, il arrive � la +fin de la chaine INPUT et la politique par d�faut, DROP, est appliqu�e. Notre +demande d'�tablissement de connexion ssh entrante est donc ignor�e sans m�me une +r�ponse (ou un paquet TCP reset) de notre part.

-A near-perfect firewall +Un firewall proche de la perfection

-So, what kind of firewall do we have so far? An excellent one for a laptop or a -workstation where you don't want anyone from the Internet connecting to you, but -where you need to connect to sites on the Internet. You'll be able to use -Netscape, konqueror, ftp, ping, perform DNS lookups, and more. Any connection -that you initiate will get back in through the firewall. However, any -unsolicited connection that comes in from the Internet will be dropped, unless -it's related to an existing connection that you initiated. As long as you don't -need to provide any network services to the outside, this is a near-perfect -firewall. +Alors, quel genre de firewall avons-nous jusqu'� pr�sent ? Un excellent choix +pour un portable ou un poste de travail si vous voulez que personne ne puisse se +connecter depuis Internet vers vous, mais avec lequel vous pouvez quand m�me +vous connecter � des sites sur Internet. Vous pourrez utiliser Netscape, +Konqueror, ftp, ping, faire des recherches DNS, et bien plus. Toutes les +connexions dont vous �tes l'initiateur pourront passer votre firewall. +Cependant, les connexions non sollicit�es qui viennent depuis Internet seront +ignor�es, � moins d'�tre en relation avec une connexion existante que vous avez +initi�e. Tant que vous ne devez pas fournir un service r�seau vers l'ext�rieur, +c'est un firewall pratiquement parfait.

-A basic firewall script +Un script de firewall simple

-Here's a simple script that can be used to set up/tear down our first basic -workstation firewall: +Voil� un script simple qui peut �tre utilis� pour configurer notre premier +firewall de station de travail:

+ #!/bin/bash
-# A basic stateful firewall for a workstation or laptop that isn't running any
-# network services like a web server, SMTP server, ftp server, etc.
+# Un script de firewall simple pour une station de travail ou un
+portable
+# qui ne fournit aucun service r�seau, comme un  serveur web, ftp,
+smtp, etc.
 
 if [ "$1" = "start" ]
 then
-        echo "Starting firewall..."
+        echo "D�marrage du firewall..."
         iptables -P INPUT DROP
         iptables -A INPUT -i ! eth1 -j ACCEPT
         iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 elif [ "$1" = "stop" ]
 then
-        echo "Stopping firewall..."
+        echo "Arr�t du firewall..."
         iptables -F INPUT
         iptables -P INPUT ACCEPT
 fi
@@ -566,18 +594,19 @@

-Using the script +Utilisation du script

-Using this script, you can bring down the firewall by typing ./firewall -stop, and bring it back up again by typing ./firewall start. To bring -down the firewall, we flush our rules out of the INPUT chain with a iptables --F INPUT, and then switch the default INPUT policy back to ACCEPT with a -iptables -P INPUT ACCEPT command. Now, let's look at a bunch of -improvements that we can make to our existing workstation firewall. Once I've -explained every improvement, I'll present a final workstation firewall script. -Then, we'll start customizing our firewall for servers. +En utilisant ce script, vous pouvez d�sactiver le firewall en tapant +./firewall stop, et le relancer en tapant ./firewall start. Pour +d�sactiver le firewall, on supprime les r�gles de la chaine INPUT en faisant +iptables -F INPUT, puis reprenons la politique par d�faut de INPUT en +ACCEPT avec la commande iptables -P INPUT ACCEPT. Maintenant, voyons +tout un tas d'am�liorations que nous pouvons faire sur notre firewall. Apr�s +avoir expliqu� chaque am�lioration, je pr�senterai un script avanc� pour un +poste de travail. Ensuite, nous commencerons � modifier notre firewall pour des +serveurs.

@@ -585,21 +614,22 @@ -Stateful improvements +Am�liorations au suivi d'�tats

-Explicitly turn off ECN +D�sactication explicite de l'ECN

-I mentioned earlier that it's important to turn off ECN (explicit congestion -notification) so that Internet communications will work properly. While you may -have disabled ECN in the kernel per my suggestion, it's possible that in the -future, you'll forget to do so. Or, possibly, you'll pass your firewall script -along to someone who has ECN enabled. For these reasons, it's a good idea to use -the /proc interface to explicitly disable ECN, as follows: +J'ai parl� plus haut de l'importance de d�sactiver l'ECN (explicit congestion +notification) pour que les communications Internet fonctionnent correctement. +M�me si vous avez d�sactiv� l'ECN dans le noyau en suivant ma suggestion, il +est possible que vous l'oubliez dans le futur. Ou, comme c'est possible, vous +allez paser votre script de firewall � quelqu'un qui a l'ECN activ�. Pour ces +raisons, c'est une bonne id�e d'utiliser l'interface /proc pour +d�sactiver explicitement l'ECN, comme ceci:

+ if [ -e /proc/sys/net/ipv4/tcp_ecn ]
 then
         echo 0 > /proc/sys/net/ipv4/tcp_ecn
@@ -613,12 +643,13 @@
 
 
 
-If you're using your Linux machine as a router, then you'll want to enable IP
-forwarding, which will give the kernel permission to allow packets to travel
-between eth0 and eth1, and vice versa. In our example configuration, where eth0
-is connected to our LAN, and eth1 is connected to the Internet, enabling IP
-forwarding is a necessary step in allowing our LAN to connect to the Internet
-via our Linux box. To enable IP forwarding, use this line:
+Si vous utilisez votre machine Linux comme un routeur, alors vous voudrez
+activer l'IP forwarding, ce qui donnera la permission au noyau de transmettre
+des paquets de l'interface eth0 � eth1, et inversement. Dans notre exemple de
+configuration, ou eth0 est connect�e � notre LAN, et eth1 � Internet, activer
+l'IP forwarding est une �tape n�cessaire pour permettre � notre LAN de se
+connecter � Internet en passant par notre machine Linux. Pour activer l'IP
+forwarding, utilisez cette ligne:
 
 
 @@ -628,69 +659,72 @@

-Handling rejection +Gestion des rejets

-So far, we've been dropping all unsolicited traffic coming in from the Internet. -While this is an effective way to deter unwanted network activity, it does have -some drawbacks. The biggest problem with this approach is that it's easy for an -intruder to detect that we're running a firewall, since our machine isn't -replying with the standard TCP reset and ICMP port-unreachable responses: the -responses that a normal machine would send back to indicate a failed connection -attempt to a non-existent service. +Jusqu'� pr�sent, nous avons ignor� tout le trafic non solicit� venant +d'Internet. Bien que cel� soit un moyen efficace pour contrer l'activit� r�seau +non d�sirable, cel� engendre �galement quelques inconv�nients. Le plus gros +probl�me avec cette approche est qu'il est facile pour un intrus de d�tecter +que nous utilisons un firewall, puisque notre machine ne r�pond pas avec les +r�ponses standards TCP reset et ICMP port-unreachable, c'est � dire les +r�ponses qu'une machine normale devrait renvoyer pour indiquer une tentative de +connexion �chou�e vers un service non existant.

-Rather than let potential intruders know that we're running a firewall (and thus -tip them off to the fact that we may be running some valuable services that they -can't get to), it would be to our advantage to make it appear as if we aren't -running any services at all. By adding these two rules to the end of our INPUT -chain, we can successfully accomplish this task: +Plut�t que de laisser des intrus potentiels savoir que nous utilisons un +firewall (ce qui peut leur laisser penser que nous fournissons des services +pr�cieux auquels ils ne peuvent pas acc�der), il serait � notre avantage de +faire croire que nous n'utilisons pas de firewall. En ajoutant ces deux r�gles +� la fin de la chaine INPUT, on peut facilement accomplir cette t�che:

 # iptables -A INPUT -p tcp -i eth1 -j REJECT --reject-with tcp-reset
-# iptables -A INPUT -p udp -i eth1 -j REJECT --reject-with icmp-port-unreachable
+# iptables -A INPUT -p udp -i eth1 -j REJECT --reject-with
+icmp-port-unreachable

-Our first rule takes care of correctly zapping TCP connections, while the second -handles UDP. With these two rules in place, it becomes very difficult for an -intruder to detect that we're actually running a firewall; hopefully, this will -cause the intruder to leave our machine and search for other targets with more -potential for abuse. +La premi�re r�gle s'occupe de rejeter correctement les connexions TCP, alors +que la seconde s'occupe de l'UDP. Avec ces deux r�gles, il devient difficile +pour un intrus de d�tecter que nous sommes derri�re un firewall; avec de la +chance, l'intrus se d�tournera de notre machine pour chercher d'autres cibles +potentiellement plus int�rressantes.

-In addition to making our firewall more "stealthy", these rules also eliminate -the delay involved in connecting to certain ftp and irc servers. This delay is -caused by the server performing an ident lookup to your machine (connecting to -port 113) and eventually (after about 15 seconds) timing out. Now, our firewall -will return a TCP reset and the ident lookup will fail immediately instead of -retrying for 15 seconds (while you're patiently waiting for a response from the -server). +En plus de rendre notre firewall plus "discret", ces r�gles �liminent aussi le +d�lai lors de la connection � certains serveurs FTP et IRC. Ce d�lai est d� au +serveur qui tente de faire une requ�te ident sur votre machine (en se +connectant sur le port 113), qui �choue apr�s un timeout d'environ 15 secondes. +Maintenant, notre firewall va renvoyer un TCP reset et la requ�te ident va +�chouer imm�diatement plut�t que de r�ssayer pendant 15 secondes (alors que +vous attendez patiemment une r�ponse du serveur).

-Spoof protection +Protection contre le Spoof

-In many distributions, when the network interface(s) are brought up, several old -ipchains rules are also added to the system. These special rules were added by -the creators of the distribution to deal with a problem called spoofing, in -which the source address of packets have been tweaked so that they contains an -invalid value (something that script kiddies do). While we can create similar -iptables rules that will also block spoofed packets, there's an easier way. -These days, the kernel has the built-in ability to dropped spoofed packets; all -we need to do is enable it via a simple /proc interface. Here's -how. +Dans plusieurs distributions, quand une interface r�seau est activ�e, plusieurs +vieilles r�gles ipchains sont �galement ajout�es au syst�me. Ces r�gles +sp�ciales avaient �t� ajout�es par les cr�ateurs de la distribution pour +contrer un probl�me appel� spoofing, dans lequel les adresses sources des +paquets ont �t� traffiqu�s pour contenir une valeur invalide (c'est une des +choses que les script kiddies font). Bien que l'on pourrait cr�er des r�gles +iptables similaires pour bloquer ces paquets spoof�s, il y a une mani�re de +faire plus facile. De nos jours, le noyau a la fonctionnalit� int�gr�e +d'ignorer les paquets spoof�s; il suffit de l'activer par le biais de +l'interface /proc. Voil� comment.

+ for x in lo eth0 eth1
 do
         echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter
@@ -698,9 +732,9 @@
 
 
 
-This shell script will tell the kernel to drop any spoofed packets on interfaces
-lo, eth0, and eth1. You can either add these lines to your firewall script, or
-add them to the script that brings up your lo, eth0, and eth1 interfaces.
+Ce script shell va indiquer au noyau d'ignorer tous les paquets spoof�s sur les
+interfaces lo, eth0 et eth1. Vous pouvez soit ajouter ces lignes � votre script
+de firewall, soit dans le script qui active vos interfaces lo, eth0, et eth1.
 
 
 
@@ -710,11 +744,12 @@
 
 
 
-NAT (network address translation) and IP masquerading, while not directly
-related to firewalls, are often used in conjunction with them. We're going to
-look at two common NAT/masquerading configurations that you may need to use.
-This first rule would take care of situations where you have a dialup link to
-the Internet (ppp0) that uses a dynamic IP:
+Le NAT (network address translation) et l'IP masquerading, bien que non
+directement en rapport avec les firewalls, sont souvent utilis�s en compl�ment.
+Nous allons voir deux configurations r�pandues de NAT/Masquerading que vous
+pourrez avoir � utiliser. La premi�re r�gle servira dans les situations o� vous
+utilisez un lien non permanent vers Internet (ppp0) avec une adresse IP
+dynamique.
 
 
 @@ -722,11 +757,12 @@
 
 
 
-If you're in this situation, you'll also want to convert my firewall scripts so
-that all references to "eth1" (our example DSL router) are changed to "ppp0".
-And it's perfectly fine to add firewalling rules that refer to "ppp0" when the
-ppp0 interface doesn't yet exist. As soon as ppp0 is up, everything will work
-perfectly. Make sure you enable IP forwarding as well.
+Si vous �tes dans cette situation, vous voudrez �galement convertir mes scripts
+de firewall pour que les r�f�rences � "eth1" (le routeur DSL dans notre
+exemple) soient chang�es en "ppp0". Et il est tout � fait possible d'ajouter
+des r�gles qui font r�f�rences � "ppp0" alors que cette interface n'existe pas
+encore. D�s que ppp0 est activ�e, tout fonctionnera � merveille. V�rifiez
+quannd m�me que vous avez activ� l'IP forwarding.
 
 
 
@@ -736,27 +772,28 @@
 
 
 
-If you're using DSL to connect to the Internet, you probably have one of two
-possible configurations. One possibility is that your DSL router or modem has
-its own IP number and performs network address translation for you. If you're in
-this situation, you don't need Linux to perform NAT for you since your DSL
-router is taking care of it already.
+Si vous utilisez une ligne DSL pour vous connecter � Internet, vous avez
+probablement une des deux configurations suivantes. Dans la premi�re, votre
+routeur DSL ou modem a sa propre adresse IP et s'occupe de la translation
+d'adresse pour vous. Si vous �tes dans cette situation, vous n'avez pas besoin
+de faire du NAT puisque votre routeur DSL le fait d�j�.
 
 
 
-However, if you want to have more control over your NAT functionality, you may
-want to talk to your ISP about configuring your DSL connection so that your DSL
-router is in "bridged mode". In bridged mode, your firewall becomes an official
-part of your ISP's network, and your DSL router transparently forwards IP
-traffic back and forth between your ISP and your Linux box without letting
-anyone know that it's there. It no longer has an IP number; instead, eth1 (in
-our example) sports the IP. If someone pings your IP from the Internet, they get
-a reply back from your Linux box, rather than your router.
+Cependant, si vous voulez avoir plus de contr�le sur vos fonctionnalit�s NAT,
+vous pouvez eventuellement, si votre fournisseur d'acc�s le permet, configurer
+votre routeur DSL en mode "bridge" (pont). Dans ce mode, votre firewall devient
+un �l�ment officiel du r�seau de votre fournisseur d'acc�s, et le routeur DSL
+s'occupe de relayer le trafic de et vers votre machine Linux de mani�re
+transparente. Il n'a plus besoin d'une adresse IP; � la place, eth1 (dans notre
+exemple) en a une. Si quelqu'un pingue votre adresse IP depuis Internet, il
+recevra une r�ponse de votre machine Linux, et pas de votre routeur.
 
 
 
-With this kind of setup, you'll want to use SNAT (source NAT) rather than
-masquerading. Here's the line you should add to your firewall:
+Avec ce genre de configuration, vous aurez � utiliser SNAT (source NAT)
+plut�t que le Masquerading. Voici la ligne que vous devriez rajouter � votre
+firewall:
 
 
 @@ -764,101 +801,112 @@
 
 
 
-In this example, eth1 should be changed to the ethernet interface connected
-directly to your DSL router, and 1.2.3.4 should be changed to your static IP
-(the IP of your ethernet interface). Again, remember to enable IP forwarding.
+Dans cet exemple, remplacez eth1 par l'interface Ethernet connect�e sur votre
+routeur DSL, ainsi que 1.2.3.4 par votre adresse IP statique (l'IP de votre
+interface Ethernet). Encore une fois, n'oubliez pas l'IP forwarding.

-NAT issues +Probl�mes avec le NAT

-Fortunately for us, NAT and masquerading get along just fine with a firewall. -When writing your firewall filtering rules, just ignore the fact that you're -using NAT. Your rules should accept, drop, or reject packets based on their -"real" source and destination addresses. The firewall filtering code sees the -original source address for a packet, and the final destination address. This is -great for us, because it allows our firewall to continue working properly even -if we temporarily disable NAT or masquerading. +Heureusement pour nous, le NAT et le masquerading s'entendent bien sur notre +firewall. Quand vous �crivez vos r�gles de firewall, ignorez simplement que vous +utilisez du NAT. Vos r�gles doivent accepter, ignorer ou rejeter les paquets en +se basant sur leur "v�ritables" adresses source et destination. Le code de +filtrage du firewall prend en compte l'adresse source d'origine et l'adresse de +destination finale. C'est tant mieux pour nous, puisque cel� permet � notre +firewall de fonctionner correctement m�me si on d�sactive temporairement le NAT +ou le masquerading.

-Understanding tables +Comprendre les tables

-In the above NAT/masquerading examples, we're appending rules to a chain, but -we're also doing something a bit different. Notice the "-t" option. The "-t" -option allows us to specify the table that our chain belongs to. When omitted, -the default table defaults to "filter". So, all our previous non-NAT related -commands were modifying the INPUT chain that's part of the "filter" table. The -"filter" table contains all the rules associated with accepting or rejecting -packets, while the "nat" table (as you would assume) contains rules relating to -network address translation. There are also other built-in iptables chains and -they are described in detail in the iptables man page, as well as in Rusty's -HOWTOs (see the Resources section at the end of -this tutorial for links). +Dans les exemples de NAT/masquerading pr�c�dents, on a ajout� des r�gles � une +chaine, mais nous avons �galement fait des choses un peu diff�remment. Remarquez +l'option "-t". L'option "-t" permet de choisir la table � laquelle appartient +notre chaine. Quand cette option n'est pas sp�cifi�e, la table par d�faut est la +table "filter". Par cons�quent, toutes les commandes pr�c�dentes sans rapport +avec le NAT ont modifi� la chaine INPUT qui fait partie de la table "filter". La +table "filter" contient toutes les r�gles associ�es � l'acceptation/rejet de +paquets, tandis que la table "nat" (comme vous pouvez le deviner) contient les +r�gles concernant la translation d'adresse. Il existe d'autres chaines iptables +qui sont d�crites en d�tail dans la page de manuel iptables, ainsi que dans les +HOWTO de Rusty Russel (cf. dans la section Ressources + plus bas pour les liens).

-Our enhanced script +Notre script am�lior�

-Now that we've taken a look at a bunch of possible enhancements, it's time to -take a look at a second more flexible firewall up/down script: +Maintenant que nous avons vu tout un tas d'am�liorations possibles, il est temps +de voir un second script plus souple d'activation/d�sactivation du firewall:

+ 
 #!/bin/bash
 
-# An enhanced stateful firewall for a workstation, laptop or router that isn't
-# running any network services like a web server, SMTP server, ftp server, etc.
-
-# Change this to the name of the interface that provides your "uplink"
-# (connection to the Internet)
+# Un firewall statefull am�lior� pour une station de travail, portable
+ou routeur
+# qui ne fourni aucun service r�seau (comme serveur web, smtp, ftp,
+etc.)
+
+# Changez cette variable pour le nom de l'interface qui sert d'"uplink"
+
+# (connexion � Internet)
 
 UPLINK="eth1"
 
-# If you're a router (and thus should forward IP packets between interfaces),
-# you want ROUTER="yes"; otherwise, ROUTER="no"
+# Si vous �tes un routeur, (et donc souhaitez forwarder les paquets IP
+entre les interfaces),
+# mettez ROUTER="yes"; sinon, ROUTER="no"
 
 ROUTER="yes"
 
-# Change this next line to the static IP of your uplink interface for static SNAT, or
-# "dynamic" if you have a dynamic IP.  If you don't need any NAT, set NAT to "" to
-# disable it.
+# Changez la prochaine ligne pour mettre l'adresse IP statique de votre
+interface
+# uplink pour faire du SNAT statique, ou "dynamic" si vous avez une IP
+dynamique
+# Si vous n'avez pas besoin de NAT, laissez NAT="" pour le d�sactiver.
+
 
 NAT="1.2.3.4"
 
-# Change this next line so it lists all your network interfaces, including lo
+# Changez cette variable pour lister toutes vos interfaces r�seau, y
+compris lo
 
 INTERFACES="lo eth0 eth1"
 
 if [ "$1" = "start" ]
 then
-        echo "Starting firewall..."
+        echo "Demarrage du firewall..."
         iptables -P INPUT DROP
         iptables -A INPUT -i ! ${UPLINK} -j ACCEPT
         iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
         iptables -A INPUT -p tcp -i ${UPLINK} -j REJECT --reject-with tcp-reset
-        iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with icmp-port-unreachable
+        iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with
+icmp-port-unreachable
 
-        # Explicitly disable ECN
+        # Desactivation explicite de l'ECN
         if [ -e /proc/sys/net/ipv4/tcp_ecn ]
         then
                 echo 0 > /proc/sys/net/ipv4/tcp_ecn
         fi
 
-        # Disable spoofing on all interfaces
+        # D�sactiver le spoofing sur toutes les interfaces
         for x in ${INTERFACES}
         do
                 echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter
@@ -866,27 +914,31 @@
 
         if [ "$ROUTER" = "yes" ]
         then
-                # We're a router of some kind, enable IP forwarding
+                # Activation de l'IP forwarding pour le routage
+
                 echo 1 > /proc/sys/net/ipv4/ip_forward
                 if [ "$NAT" = "dynamic" ]
                 then
-                        # Dynamic IP address, use masquerading
-                        echo "Enabling masquerading (dynamic ip)..."
-                        iptables -t nat -A POSTROUTING -o ${UPLINK} -j MASQUERADE
+                        # Adresse IP dynamique, utilisation du
+masquerading
+                        echo "Activation du masquerading (IP dynamique)..."
+                        iptables -t nat -A POSTROUTING -o ${UPLINK} -j
+MASQUERADE
                 elif [ "$NAT" != "" ]
                 then
-                        # Static IP, use SNAT
-                        echo "Enabling SNAT (static ip)..."
-                        iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to ${UPIP}
+                        # IP statique, utilisation du SNAT
+                        echo "Activation SNAT (IP statique)..."
+                        iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to
+${UPIP}
                 fi
         fi
 
 elif [ "$1" = "stop" ]
 then
-        echo "Stopping firewall..."
+        echo "Arret du firewall..."
         iptables -F INPUT
         iptables -P INPUT ACCEPT
-        # Turn off NAT/masquerading, if any
+        # D�sactive le NAT/masquerading
         iptables -t nat -F POSTROUTING
 fi
 
@@ -896,28 +948,28 @@
 
 
 
-Stateful servers
+Servers statefuls
 
-Viewing rules
+Voir ses r�gles
 
 
 
-Before we start making customizations to our firewall so that it can be used on
-a server, I need to show you how to list your currently active firewall rules.
-To view the rules in the filter table's INPUT chain, type:
+Avant de commencer � modifier notre firewall pour pouvoir l'utiliser sur un
+serveur, je dois vous montrer comment afficher les r�gles actives sur votre
+firewall. Pour voir les r�gles dans la chaine INPUT de la table filter, tapez:
 
 
-+ # iptables -v -L INPUT
 
 
 
-The -v option gives us a verbose output, so that we can see the total packets
-and bytes transferred per rule. We can also look at our nat POSTROUTING table
-with the following command:
+L'option -v nous donne une sortie verbeuse, afin que l'on puisse voir le nombre
+total de paquets et d'octets transf�r�s par r�gle. On peut aussi voir la chaine
+POSTROUTING de la table nat avec la commande suivante:
 
 
-+ # iptables -t nat -v -L POSTROUTING
 Chain POSTROUTING (policy ACCEPT 399 packets, 48418 bytes)
 pkts bytes target     prot opt in     out     source               destination
@@ -928,52 +980,53 @@
 
 
 
-Getting ready for service
+Pr�ts pour le service
 
 
 
-Right now, our firewall doesn't allow the general public to connect to services
-on our machine because it only accepts incoming ESTABLISHED or RELATED packets.
-Because it drops any incoming NEW packets, any connection attempt is rejected
-unconditionally. However, by selectively allowing some incoming traffic to cross
-our firewall, we can allow the general public to connect to the services that we
-specify.
+A l'heure actuelle, notre firewall ne permet pas au "public" de se connecter aux
+services sur notre machine car il accepte seulement les paquets entrants dans
+l'�tat ESTABLISHED ou RELATED. Comme il ignore tous les paquets NEW entrants,
+toutes les tentatives de connexion sont syst�matiquement rejet�es. Cependant, en
+autorisant s�lectivement certains paquets � traverser notre firewall, on peut
+permettre au "public" de se connecter aux services que nous voudrons.
 
 
 
 
 
-Stateful HTTP
+HTTP stateful
 
 
 
-While we want to accept some incoming connections, we probably don't want to
-accept every kind of incoming connection. It makes sense to start with a "deny
-by default" policy (as we have now) and begin opening up access to those
-services that we'd like people to be able to connect to. For example, if we're
-running a Web server, we'll allow NEW packets into our machine, as long as they
-are headed for port 80 (HTTP). That's all we need to do. Once we allow the NEW
-packets in, we've allowed a connection to be established. Once the connection is
-established, our existing rule allowing incoming ESTABLISHED and RELATED packets
-kicks in, allowing the HTTP connection to proceed unhindered.
+Bien que l'on veuille accepter quelques connexions entrantes, on ne souhaite
+tout de m�me pas les accepter toutes. Il est pr�f�rable de partir d'une
+politique "rejet par d�faut" (comme nous l'avons configur� actuellement) et
+d'ouvrir l'acc�s aux seuls services que l'on souhaite rendre publics. Par
+exemple, si nous avons un serveur Web, nous allons autoriser les paquets NEW
+vers notre machine, mais seulement s'ils sont destin�s au port 80 (HTTP). C'est
+tout ce qu'il suffit de faire. D�s que nous autorisons le paquet NEW � passer,
+on autorise l'�tablissement de connexion. Une fois la connexion �tablie, la
+r�gle existante qui autorise les paquets entrants ESTABLISHED et RELATED entre
+en sc�ne, laissant se d�rouler la connexion HTTP sans accrocs.
 
 
 
 
 
-Stateful HTTP example
+Exemple d'HTTP stateful
 
 
 
-Let's take a look at the "heart" of our firewall and the new rule that allows
-incoming HTTP connections:
+Jetons un oeil au "coeur" de notre firewall et � la nouvelle r�gle qui autorise
+les connexion HTTP entrantes:
 
 
-+ iptables -P INPUT DROP
 iptables -A INPUT -i ! ${UPLINK} -j ACCEPT
 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-# Our new rule follows
+# Notre nouvelle r�gle
 iptables -A INPUT -p tcp --dport http -m state --state NEW -j ACCEPT
 iptables -A INPUT -p tcp -i ${UPLINK} -j REJECT --reject-with tcp-reset
 iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with
@@ -981,79 +1034,92 @@
 
 
 
-This new rule allows incoming NEW TCP packets destined for our machine's port 80
-(http) to come in. Notice the placement of this rule. It's important that it
-appears before our REJECT rules. Since iptables will apply the first matching
-rule, putting it after our REJECT lines would cause this rule to have no effect.
+Cette nouvelle r�gle autorise les paquets TCP NEW entrants destin�s au port
+80 (HTTP) de notre machine � entrer. Remarquez la place de cette r�gle. Il est
+important qu'elle soit plac�e avant notre r�gle REJECT. Comme iptables applique
+seulement la premi�re r�gle qui correspond, la mettre derri�re les lignes REJECT
+engendrerai qu'elle n'ai aucun effet.
 
 
 
 
 
-Our final firewall script
+Notre script de firewall avanc�
 
 
 
-Now, let's take a look at our final firewall script, one that can be used on a
-laptop, workstation, router, or server (or some combination thereof!).
+Maintenant, voyons notre dernier script de firewall, qui peut �tre utilis�
+sur un portable, station de travail, routeur ou serveur (ou une quelconque
+combinaison !)
 
 
-+ 
 #!/bin/bash
 
-# Our complete stateful firewall script.  This firewall can be customized for
-# a laptop, workstation, router or even a server. :)
+# Notre script de firewall complement stateful. Ce firewall peut
+�tre adapt�
+# pour un portable, station de travail, routeur ou m�me un serveur. :)
+
 
-# Change this to the name of the interface that provides your "uplink"
-# (connection to the Internet)
+# Changez cette variable pour le no de l'interface "uplink"
+# (connexion vers Internet)
 
 UPLINK="eth1"
 
-# If you're a router (and thus should forward IP packets between interfaces),
-# you want ROUTER="yes"; otherwise, ROUTER="no"
+# Si vous �tes routeur (et donc souhaitez forwarder les paquets IP
+entre les
+# interfaces), mettez ROUTER="yes"; sinon, ROUTER="no"
 
 ROUTER="yes"
 
-# Change this next line to the static IP of your uplink interface for static SNAT, or
-# "dynamic" if you have a dynamic IP.  If you don't need any NAT, set NAT to "" to
-# disable it.
+# Changez la prochaine ligne vers l'adresse IP statique de votre
+interface
+# uplink pour du SNAT statique, ou "dynamic" si vous avez une IP
+dynamique.
+# Si vous ne voulez pas de NAT, mettez NAT="" pour le d�sactiver.
+
 
 NAT="1.2.3.4"
 
-# Change this next line so it lists all your network interfaces, including lo
+# Changez cette ligne pour lister toutes vos interfaces r�seaux, y
+compris lo
 
 INTERFACES="lo eth0 eth1"
 
-# Change this line so that it lists the assigned numbers or symbolic names (from
-# /etc/services) of all the services that you'd like to provide to the general
-# public. If you don't want any services enabled, set it to ""
+# Changez cette ligne pour lister les num�ros de ports ou noms
+symboliques
+# (de /etc/services) de tous les services que vous souhaiter rendre
+publics.
+# Si vous ne souhaitez publiez aucun service, laissez ""
 
 SERVICES="http ftp smtp ssh rsync"
 
 if [ "$1" = "start" ]
 then
-        echo "Starting firewall..."
+        echo "D�marrage du firewall..."
         iptables -P INPUT DROP
         iptables -A INPUT -i ! ${UPLINK} -j ACCEPT
         iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
-        # Enable public access to certain services
+        # Activer l'acc�s publics aux services
         for x in ${SERVICES}
         do
-                iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -j ACCEPT
+                iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -j
+ACCEPT
         done
 
         iptables -A INPUT -p tcp -i ${UPLINK} -j REJECT --reject-with tcp-reset
-        iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with icmp-port-unreachable
+        iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with
+icmp-port-unreachable
 
-        # Explicitly disable ECN
+        # D�sactivation explicite de l'ECN
         if [ -e /proc/sys/net/ipv4/tcp_ecn ]
         then
                 echo 0 > /proc/sys/net/ipv4/tcp_ecn
         fi
 
-        # Disable spoofing on all interfaces
+        # Protection anti-spoofing
         for x in ${INTERFACES}
         do
         echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter
@@ -1061,27 +1127,29 @@
 
         if [ "$ROUTER" = "yes" ]
         then
-                # We're a router of some kind, enable IP forwarding
+                # Activation de l'IP forwarding
                 echo 1 > /proc/sys/net/ipv4/ip_forward
                 if [ "$NAT" = "dynamic" ]
                 then
-                # Dynamic IP address, use masquerading
-                echo "Enabling masquerading (dynamic ip)..."
-                        iptables -t nat -A POSTROUTING -o ${UPLINK} -j MASQUERADE
+                # IP dynamique => masquerading
+                echo "Activation du masquerading (ip dynamique)..."
+                        iptables -t nat -A POSTROUTING -o ${UPLINK} -j
+MASQUERADE
                 elif [ "$NAT" != "" ]
                 then
-                        # Static IP, use SNAT
-                        echo "Enabling SNAT (static ip)..."
-                        iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to ${UPIP}
+                        # IP statique => SNAT
+                        echo "Activation du SNAT (ip statique)..."
+                        iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to
+${UPIP}
                 fi
         fi
 
 elif [ "$1" = "stop" ]
 then
-        echo "Stopping firewall..."
+        echo "Arr�t du firewall..."
         iptables -F INPUT
         iptables -P INPUT ACCEPT
-        # Turn off NAT/masquerading, if any
+        # Arr�t du masquerading
         iptables -t nat -F POSTROUTING
 fi
 
@@ -1091,127 +1159,134 @@
 
 
 
-Building a better server firewall
+Construire un meilleur firewall pour serveur
 
-Server improvements
+Am�liorations
 
 
 
-It's often possible to make a firewall just an eensy bit "better". Of course,
-what "better" means depends on your specific needs. Our existing script could
-meet yours exactly, or maybe some additional tweaking is in order. This section
-is intended to serve as a cookbook of ideas, demonstrating ways to enhance your
-existing stateful firewall.
+Il est souvent possible de rendre son firewall toujours un peu "mieux". Bien
+s�r, la signification de "mieux" d�pend de vos besoins sp�cifiques. Notre script
+existant peu combler exactement les v�tres, ou peut-�tre que quelques retouches
+seront n�cessaires. Cette section est sens�e servir de livre � id�es, pour vous
+montrer plusieurs moyens d'am�liorer notre firewall stateful existant.
 
 
 
 
 
-Logging techniques
+Techniques de log
 
 
 
-So far, we haven't discussed how to go about logging anything. There's a special
-target called LOG that you can use to log things. Along with LOG, there's a
-special option called --log-prefix that allows you to specify some text
-that will appear alongside the packet dump in the system logs. Here's an example
-log rule:
+Jusqu'� pr�sent, nous n'avons pas vu comment logger des evenements. Il y a une
+cible sp�ciale appel�e LOG que vous pouvez utiliser pour cel�. Associ�e � LOG,
+il y a une option sp�ciale appel�e --log-prefix qui permet de choisir le
+texte qui appara�tra devant le descriptif du paquet dans les logs du syst�me.
+Voil� un exemple de r�gle LOG:
 
 
--#  iptables -A INPUT -j LOG --log-prefix "bad input:"
++#  iptables -A INPUT -j LOG --log-prefix "Anomalie INPUT:"
 
 
 
-You wouldn't want to add this as the first rule in your INPUT chain, as it would
-cause a log entry to be recorded for every packet that you receive! Instead,
-place log rules further down in your INPUT chain with the intention of logging
-strange packets and other anomalies.
+Vous ne voudrez certainement pas ajouter cette r�gle en premier dans votre
+chaine INPUT, car cel� entra�nerait qu'une entr�e dans les logs soit cr��e pour
+chaque paquet que vous recevez ! A la place, placez cette r�gle assez bas dans
+la chaine INPUT pour logguer uniquement les paquets bizarres et autres
+anomalies.
 
 
 
-Here's an important note about the LOG target. Normally, when a rule matches, a
-packet is either accepted, rejected, or dropped, and no further rules are
-processed. However, when a log rule matches, the packet is logged. However, it
-is not accepted, rejected, or dropped. Instead, the packet continues on to the
-next rule, or the default chain policy is applied if the log rule is the last on
-the chain.
+Une remarque importante sur la cible LOG. Normalement, quand une r�gle
+correspond � un paquet, ce paquet est soit accept�, rejet� ou ignor�, et les
+r�gles suivantes ne sont pas v�rifi�es. Cependant, quand une r�gle LOG
+correspond, ce paquet est loggu�. Il n'est ni accept�, ni rejet�, ni ignor�. A
+la place, le paquet est confront� � la r�gle suivante, ou bien la r�gle par
+d�faut est appliqu�e s'il n'y a pas de r�gle suivante.
 
 
 
-The LOG target can also be combined with the "limit" module (described in the
-iptables man page) to minimize duplicate log entries. Here's an example:
+La cible LOG peut �galement �tre combin�e avec le module "limit" (d�crit dans
+la page de manuel iptables) pour �viter d'avoir trop d'entr�es dupliqu�es.
+Voil� un exemple:
 
 
--# iptables -A INPUT -m state --state INVALID -m limit --limit 5/minute -j LOG --log-prefix "INVALID STATE:"
++# iptables -A INPUT -m state --state INVALID -m limit --limit 5/minute -j LOG
+--log-prefix "Etat INVALID:"
 
 
 
 
 
-Creating your own chains
+Cr�er vos propres chaines
 
 
 
-iptables allows you to create your own user-defined chains that can be specified
-as targets in your rules. If you want to learn how to do this, spend some time
-going through the Packet filtering HOWTO at the netfilter/iptables project home
-page (http://www.netfilter.org/).
+iptables vous permet de cr�er vos propres chaines qui peuvent �tre
+ensuite sp�cifi�e comme cibles dans vos r�gles. Pour en apprendre plus � ce
+sujet, �tudiez le Packet filtering HOWTO heberg� sur le site du projet 
+netfilter/iptables (http://www.netfilter.org/).
 
 
 
 
 
-Enforcing network usage policy
+Politique de restriction d'usages
 
 
 
-Firewalls offer a lot of power for those who want to enforce a network usage
-policy for a corporate or academic LAN. You can control what packets your
-machine forwards by adding rules to and setting policy for the FORWARD chain. By
-adding rules to the OUTPUT chain, you can also control what happens to packets
-that are generated locally, by users on the Linux box itself. iptables also has
-the incredible ability to filter locally-created packets based on owner (uid or
-gid). For more information on this, search for "owner" in the iptables man page.
+Les firewalls offrent une grande puissance � ceux qui veulent restreindre les
+usages d'un r�seau dans une entreprise ou un r�seau acad�mique. Vous pouvez
+contr�ler quels paquets votre machine relait en ajoutant des r�gles dans la
+chaine FORWARD. En ajoutant des r�gles � la chaine OUTPUT, vous pouvez
+�galement contr�ler ce qui arrive aux paquets g�n�r�s localement, par les
+utilisateurs sur la machine Linux elle-m�me. iptables a aussi l'incroyable
+capacit� de filtrer les paquets g�n�r�s localement en fonction de leur
+propri�taire (UID ou GID). Pour plus d'informations � ce sujet, cherchez
+"owner" (propri�taire) dans la page de manuel iptables.
 
 
 
 
 
-Other security angles
+Autres angles de la s�curit�
 
 
 
-In our example firewall, we've assumed that all internal LAN traffic is
-trustworthy, and that only incoming Internet traffic must be carefully
-monitored. Depending on your particular network, that may or may not be the
-case. There's certainly nothing stopping you from configuring your firewall to
-provide protection from incoming LAN traffic. Consider other "angles" of your
-network that you may want to protect. It may also be appropriate to configure
-two separate LAN security "zones", each with its own security policy.
+Dans notre exemple de firewall, nous avons suppos� que tout le trafic du LAN
+interne est digne de confiance, et que seul le trafic Internet devait �tre
+filtr� avec soin. Selon votre r�seau interne, cel� peut �tre ou ne pas �tre le
+cas. Rien ne vous emp�che de configurer votre firewall pour se prot�ger
+�galement du cot� du LAN. Envisagez les autres "angles" de votre r�seau que
+vous voulez prot�ger. Il peut �tre aussi appropri� de configurer deux zones
+de s�curit� diff�rentes dans votre LAN, chacune avec sa propre politique de
+s�curit�.
 
 
 
 
 
 
-
-Resources
+
+Ressources
 
 tcpdump
 
 
 
-In this section, I'll point out a number of resources that you'll find helpful
-as you put together your own stateful firewall. Let's start with an important
-tool...
+Dans cette section, je vous mets des pointeurs vers des ressources vari�es que
+vous trouverez certainement utiles pour vous aider � mettre au point votre
+firewall. Commen�ons par un outil important...
 
 
 
-tcpdump is an essential tool for
-exploring low-level packet exchanges and verifying that your firewall is working
-correctly. If you don't have it, get it. If you've got it, start using it.
+tcpdump est un outil essentiel pour
+l'exploration bas niveau des echanges de paquets et pour v�rifier que votre
+firewall fonctionne correctement. Si vous ne l'avez pas, t�l�chargez le. Si 
+vous l'avez, commencez � l'utiliser.
 
 
 
@@ -1221,10 +1296,11 @@
 
 
 
-Visit the netfilter/iptables project home page
-(http://www.netfilter.org).  You'll find many resources at this site,
+Visitez le site web du projet netfilter/iptables 
+(http://www.netfilter.org). You'll find many resources at this site,
 including the iptables sources and a netfilter
+link="http://www.netfilter.org/documentation/index.html#documentation-faq">
+netfilter
 FAQ. Also Rusty's
 Remarkably Guides are excellent, and include a basic networking concepts
@@ -1235,13 +1311,14 @@
 
 
 
-iptables man page
+La page de manuel iptables
 
 
 
-Thankfully, there are a lot of good online netfilter resources; however, don't
-forget the basics. The iptables man page is very detailed and is a shining
-example of what a man page should be. It's actually an enjoyable read.
+Heureusement, il y a beaucoup de ressources disponibles en ligne sur Netfilter;
+cependant, n'oubliez pas les bases. La page de manuel iptables est tr�s
+d�taill�e et est un excellent exemple de ce � quoi une page de manuel devrait
+ressembler. C'est une lecture passionnante.
 
 
 
@@ -1251,17 +1328,20 @@
 
 
 
-There's now an Advanced Linux Routing
-and Traffic Control HOWTO available.  There's a good section that shows
-how to use iptables to mark packets, and then use Linux routing functionality to
-route the packets based on these marks.
+Le Advanced Linux Routing and
+Traffic Control HOWTO est disponible (�galement
+
+en fran�ais). Il contient tout un chapitre sur l'utilisation d'iptables
+pour le marquage de paquets, puis sur l'utilisation des fonctionnalit�s de
+routage de Linux pour router les paquets en fonction de ces marques.
 
 
 
-This HOWTO contains references to Linux's traffic control (quality of service)
-functionality (accessed through the new tc command). This new functionality,
-although very cool, is very poorly documented, and attempting to figure out all
-aspects of Linux traffic control can be a very frustrating task at this point.
+Ce guide contient des r�f�rences vers la fonction de contr�le de trafic
+(qualit� de service) de Linux (accessible via la commande tc). Cette
+nouvelle fonctionnalit�, bien que tr�s puissante, est tr�s peu document�e, et
+essayer de cerner tous les aspects du contr�le de trafic peut �tre une tache
+tr�s frustrante pour le moment.
 
 
 
@@ -1271,22 +1351,22 @@
 
 
 
-Users who have questions on netfilter/iptables usage, setup, or configuration,
-or who want to help other users by sharing their experience and knowledge, can
-contact the netfilter user mailing
-list.
+Les utilisateurs qui ont des questions sur l'utilisation, l'installation ou la
+configuration de Netfilter/iptables, ou qui veulent aider les autres
+utilisateurs en partageant leurs experience et connaissances, peuvent contacter 
+la mailing-list
+des utilisateurs de Netfilter.
 
 
 
-Netfilter/iptables developers who have questions, suggestions, or contributions
-to netfilter/iptables development can contact the netfilter developer
-mailing list.
+Les d�veloppeurs Netfilter/iptables qui ont des questions, suggestions ou
+contributions pour le developpement de Netfilter/iptables peuvent contacter la mailing-list des
+d�veloppeurs de Netfilter.
 
 
 
-You can also browse the list archives at these URLs.
+Vous pouvez aussi parcourir les archives de mailing-list sur ces URLs.
 
 
 
@@ -1296,27 +1376,27 @@
 
 
 
-In June 2000, O'Reilly released an excellent book -- Building Internet Firewalls, Second
-Edition. It's great reference book, especially for those times when you
-want to configure your firewall to accept (or flat-out reject) a little-known
-protocol that you're unfamiliar with.
+En juin 2000, O'Reilly a publi� un excellent livre -- Building Internet Firewalls,
+Second Edition. C'est un bon manuel de r�f�rence, en particulier dans les
+cas o� vous voulez configurer votre firewall pour accepter (ou rejeter) un
+protocole peu connu avec lequel vous n'�tes pas familier.
 
 
 
-Well, that's it for our resources list, and our tutorial is complete. I hope
-that this tutorial has been helpful to you, and I look forward to your feedback.
+Voil�, c'�tait la liste de nos ressources, et ce guide est termin�. J'esp�re
+qu'il vous a �t� utile, et j'attends vos remarques.
 
 
 
 
 
-Your feedback
+Vos remarques
 
 
 
-We look forward to getting your feedback on this tutorial. Additionally, you are
-welcome to contact the author, Daniel Robbins, at drobbins@gentoo.org.