Différences

Ci-dessous, les différences entre deux révisions de la page.

--- issue101:site_web_avec_infrastructure [2015/10/05 01:11] – erlevo
+++ issue101:site_web_avec_infrastructure [2015/10/06 23:05] (Version actuelle) – d52fr
@@ Ligne 3: / Ligne 3: @@
 **Now that that our Linux VM is built, we must add security for better server protection; this will be accomplished by using the Linux firewall capabilities. Afterwards, we will install a web server and set up additional security on the web server.**
-Maintenant que notre machine virtuelle Linux est construite, nous devons augmenter la sécurité pour améliorer la protection du serveur ; ce sera fait en utilisant les capacités du pare-feu Linux. Après cela on installera un serveur internet et on y implantera des sécurités additionnelles.
+Maintenant que notre machine virtuelle Linux est construite, nous devons augmenter la sécurité pour améliorer la protection du serveur ; ce sera fait en utilisant les capacités du pare-feu Linux. Après cela, on installera un serveur Internet et on y implantera des sécurités additionnelles.
 **Today we will focus on the Linux firewall. We will use iptables, standard Linux firewall functionality.
@@ Ligne 11: / Ligne 11: @@
 Aujourd'hui nous allons nous concentrer sur le pare-feu Linux. Nous allons utiliser iptables, une interface standard du pare-feu de Linux.
-Un pare-feu est essentiellement un ensemble de règles. Nous allons utiliser par défaut la règle « accès refusé » (deny access) – c'est à dire que, à moins que ce ne soit précisé par ailleurs, un paquet provenant du réseau sera ignoré.
+Un pare-feu est essentiellement un ensemble de règles. Nous allons utiliser par défaut la règle « accès refusé » (deny access), c'est-à-dire que, à moins que ce ne soit précisé par ailleurs, un paquet provenant du réseau sera détruit.
 **External access to our server will be allowed under:
@@ Ligne 20: / Ligne 20: @@
 L'accès depuis l'extérieur sur notre serveur sera autorisé sous :
-  * SSH- pour un contrôle à distance
+• SSH - pour un contrôle à distance.
-  * HTTP - pour les pages internet du serveur (notre site internet)
+• HTTP - pour les pages Web du serveur (notre site Internet).
-À partir de maintenant n'importe qui peut essayer de se connecter à notre serveur via SSH. Évidemment, ce ne sera pas possible sans la clé privée ; toutefois nous souhaiterions limiter ceux qui peuvent essayer de se connecter à notre serveur – il ne s'agit que de bonnes pratiques et cela limite l'accès à de potentielles attaques.
+En ce moment, n'importe qui peut essayer de se connecter à notre serveur via SSH. Évidemment, ce ne sera pas possible sans la clé privée ; toutefois, nous souhaiterions limiter ceux qui peuvent tout simplement essayer de se connecter à notre serveur ; il ne s'agit que de bonnes pratiques et cela limite les attaques potentielles.
 **For example – let's suppose you live in the US – it's probably a good idea to allow SSH connections only from the US (any SSH connection attempt from outside the US is not legitimate – it's not you!!! - so it should be banished).**
-Par exemple – supposons que vous habitiez aux États-Unis – il est probablement judicieux de ne permettre des connections SSH qu'en provenance des États-Unis (toute connexion SSH provenant de l'extérieur des US est douteuse – ce n'est pas vous !!! - elle doit donc être bloquée).
+Par exemple, supposons que vous habitiez aux États-Unis – il est probablement judicieux de ne permettre des connections SSH qu'en provenance des États-Unis (toute connexion SSH provenant de l'extérieur des US est douteuse – ce n'est pas vous !!! - elle doit donc être bloquée).
 **In addition, we may decide we will not do business with specific countries – we will block any web access (HTTP) from these countries. In my example, I will choose Canada (note here – this is only an example, there is absolutely nothing wrong with Canada what.so.ever – I am just choosing a country which is a Democracy, this way, I know I won't get into trouble!!!).**
-De plus, il se peut que vous décidiez de ne pas faire d'affaires avec un certain nombre de pays – nous allons donc bloquer tout accès internet (HTTP) depuis ces pays. Dans mon exemple j'ai choisi le Canada (notez bien – il s'agit seulement d'un exemple, il n'y a aucun problème d'aucune sorte avec le Canada – j'ai juste choisi un pays démocratique, ainsi je sais que je n'aurai pas d'ennui!!!).
+De plus, il se peut que vous décidiez de ne pas faire d'affaires avec des pays précis ; nous allons donc bloquer tout accès internet (HTTP) depuis ces pays. Dans mon exemple j'ai choisi le Canada (notez bien, il s'agit seulement d'un exemple, il n'y a aucun problème d'aucune sorte avec le Canada - j'ai juste choisi un pays démocratique, car je sais ainsi que je n'aurai pas d'ennuis !!!).
 **Please note that checking the incoming country is not foolproof – the source connection can spoof the IP address (or just VPN into a server from an unblocked country). Anyway – this is good protection against automatic bot scanners and will definitely help keep hackers away.
@@ Ligne 37: / Ligne 37: @@
 Without getting into too much detail, the firewall rules can be set for incoming, outgoing, and forward connections.**
-Notez s'il vous plaît que le contrôle du pays de provenance n'est pas absolument sûr – La connexion initiale peut utiliser une fausse adresse IP (ou passer par VPN dans un serveur situé dans un pays autorisé). Néanmoins c'est une bonne protection contre les robots scanneurs et aidera de toute façon à éloigner les pirates.
+Notez cependant que le contrôle du pays de provenance n'est pas absolument sûr. La connexion initiale peut utiliser une fausse adresse IP (ou passer par VPN dans un serveur situé dans un pays autorisé). Néanmoins, c'est une bonne protection contre les robots scanneurs et cela aidera de toute façon à éloigner les pirates.
-Sans aller trop dans le détail, les règles du pare-feu peuvent être établies pour les connexions entrantes, sortantes et les transferts.
+Sans aller trop dans le détail, les règles du pare-feu peuvent être établies pour les connexions entrantes, sortantes et les transferts de connexion.
 **Since we are not forwarding anything, we will just set rules for incoming (most important), outgoing (more later on why) and ignore forwarding (by default forwarding is disabled in the kernel anyway).**
-Comme nous ne transférons rien, nous allons juste établir des règles pour le trafic entrant (le plus important) et le trafic sortant (j'expliquerai tout à l'heure pourquoi) et nous ignorerons le transfert (par défaut le transfert est bloqué dans le kernel de toute façon).
+Comme nous ne transférons rien, nous allons juste établir des règles pour le trafic entrant (le plus important) et le trafic sortant (j'expliquerai tout à l'heure pourquoi) et nous ignorerons le transfert (par défaut le transfert est désactivé dans le noyau de toute façon).
 **Step by step now
@@ Ligne 53: / Ligne 53: @@
 Étape par étape maintenant :
-Petit rappel : seul sudo (ou root (l'administrateur)) peut établir les règles du pare-feu. Pour passer en root, je recommande de taper :
+Petit rappel : seul sudo (ou root, l'administrateur) peut établir les règles du pare-feu. Pour passer en root, je recommande de taper :
 sudo su
@@ Ligne 71: / Ligne 71: @@
 iptables -P INPUT DROP**
-– réinitialiser le pare-feu et bloquer tout le trafic entrant :
+– réinitialiser le pare-feu et bloquer TOUT le trafic entrant :
-La plupart des distributions sont livrées par défaut avec quelques règles de pare-feu (certainement pour Centos et Suse – j'en suis moins sûr pour Ubuntu)
+La plupart des distributions sont livrées par défaut avec quelques règles de pare-feu (certainement pour ce qui concerne CentOS et Suse, j'en suis moins sûr pour Ubuntu).
 Nous allons effacer toutes les règles pour pouvoir repartir de zéro :
@@ Ligne 81: / Ligne 81: @@
 iptables -X
-Et par défaut nous allons bloquer tout trafic entrant :
+Et par défaut nous allons bloquer (drop) tout trafic entrant :
 iptables -P INPUT DROP
@@ Ligne 87: / Ligne 87: @@
 **2 – Allow local connections (to localhost):**
-– Nous allons autoriser les connexions locales (à localhost):
+– Nous allons autoriser les connexions locales (à localhost) :
 iptables -A INPUT -i lo -p all -j ACCEPT
@@ Ligne 101: / Ligne 101: @@
 iptables with geoip is based on xtables-addons, which is an extension of iptables. This works pretty well. However, it's not really a “standard” - meaning xtables is not delivered with some distributions (requires compile from sources & install). For example, I was unable to make this work with Arch Linux on ARM architecture (not saying it is not working, just saying I was unable to make it work – big difference!).**
-– Bloquer le trafic entrant s'il provient d'un pays donné :
+– Bloquer le trafic entrant s'il provient d'un pays donné.
 Il y a plusieurs manières de vérifier le pays d'origine d'un trafic entrant :
-  * iptables geoip
+• iptables geoip,
-  * charger les blocs d'identification de pays dans ipset
+• charger les blocs d'identification de pays dans ipset.
-iptables avec geoip est basé sur xtables-addons qui est une extension de iptables. Cela ne fonctionne pas mal. Toutefois ce n'est pas vraiment « standard », je veux dire par là que xtables n'est pas fournie avec toutes les distributions (il faut dans certains cas compiler les sources et l'installer). Par exemple, j'étais incapable de faire ce travail avec Arch Linux sur des architectures ARM (je ne veux pas dire que ça ne fonctionne pas mais juste que je n'étais pas capable de le faire fonctionner – grosse différence!).
+iptables avec geoip est basé sur xtables-addons qui est une extension de iptables. Cela fonctionne assez bien. Toutefois ce n'est pas vraiment « standard », je veux dire par là que xtables n'est pas fournie avec toutes les distributions (il faut, dans certains cas, compiler les sources et l'installer). Par exemple, j'étais incapable de faire ce travail avec Arch Linux sur des architectures ARM (je ne veux pas dire que ça ne fonctionne pas, mais juste que je n'étais pas capable de le faire fonctionner, grosse différence !).
 **ipset is a companion application to iptables – it can load in-memory ranges of IP addresses, and iptables can leverage ipset to test if an IP is within this range.
@@ Ligne 114: / Ligne 114: @@
 As geo-localization, I will choose ipset – which seems to be available as a packaged install to any distribution I have tried so far.**
-ipset est une application qui fonctionne avec iptables – elle peut  charger en mémoire des plages d'adresses IP et iptables peut charger ipset de vérifier qu'une adresse IP est à l'intérieur de cette plage.
+ipset est une application qui fonctionne avec iptables – elle peut charger en mémoire des plages d'adresses IP et iptables peut charger ipset de vérifier si une adresse IP est à l'intérieur de cette plage.
-Donc, pour géo-localiser, j'utiliserais ipset- qui semble disponible dans toutes les distributions que j'ai essayées jusque là.
+Donc, pour géo-localiser, j'utiliserais ipset - qui semble disponible dans toutes les distributions que j'ai essayées jusqu'ici.
 sudo apt-get install ipset
@@ Ligne 133: / Ligne 133: @@
 Résumons ce que nous cherchons à faire :
-  * Obtenir les plages des parties d'adresses IP que nous voudrions interdire (basées sur les pays).
+• Obtenir les plages d'adresses IP que nous voudrions interdire (basées sur les pays).
-  * Charger ces plages dans ipset.
+• Charger ces plages dans ipset.
-  * Ajouter une règle iptable qui vérifie que le pays d'origine est à l'intérieur de cette plage (le Canada dans notre exemple).
+• Ajouter une règle iptable qui vérifie que le pays d'origine est à l'intérieur de cette plage (le Canada dans notre exemple).
-  * Si oui, bloquer.
+• Si oui, bloquer.
-  * Sinon :
+• Sinon :
-     * Permettre si la cible est HTTP (une page internet).
+• • Permettre si la cible est HTTP (une page Internet).
-     * Si la cible est SSH, on doit alors aussi vérifier que le pays d'origine est USA (de la même façon que ci-dessus - avec ipset).
+• • Si la cible est SSH, on doit alors aussi vérifier que le pays d'origine est USA (de la même façon que ci-dessus, avec ipset).
-J'espère que vous me suivez jusque là !!!
+J'espère que vous me suivez jusque-là !!!
 **IP blocks by country can be found here: http://www.ipdeny.com/ipblocks/data/aggregated
@@ Ligne 155: / Ligne 155: @@
 ipset create myset_CANADA hash:net**
-Les blocs d'adresse IP par pays se trouvent là :
+Les blocs d'adresse IP par pays se trouvent ici :
 http://www.ipdeny.com/ipblocks/data/aggregated
@@ Ligne 161: / Ligne 161: @@
 On obtiendra les blocs des USA et du Canada soit en téléchargeant le fichier, soit en utilisant wget :
-wget http://www.ipdeny.com/ipblocks/data/aggregated/ca-aggregated.zone
+wget http://www.ipdeny.com/ipblocks/data/aggregated/us-aggregated.zone
 wget http://www.ipdeny.com/ipblocks/data/aggregated/ca-aggregated.zone
@@ Ligne 182: / Ligne 182: @@
 for i in (cat us-aggregated.zone); do ipset add myset_USA $i; done**
-Chargeons les blocs correspondants au Canada dans myset_CANADA :
+Chargeons les blocs correspondant au Canada dans myset_CANADA :
 for i in (cat ca-aggregated.zone); do ipset add myset_CANADA $i; done
@@ Ligne 226: / Ligne 226: @@
 iptables -A INPUT -p tcp ! --dport 22 -j DROP**
-– Si nous arrivons jusque là
+– Si nous arrivons jusqu'ici
 La source ne vient pas du Canada et ce n'est pas une requête de type HTTP. Si la requête n'est pas du type SSH, il faut la bloquer et sortir du pare-feu :
@@ Ligne 250: / Ligne 250: @@
 C'est une requête de type SSH (qui ne vient pas du Canada). Vérifions que le pays d'origine soit autorisé (USA dans notre cas).
-Avant de l'accepter, écrivons dans le system log FIXME //peut-on laisser system log ?// qu'un accès a été autorisé sur le port 22. Nous allons enregistrer cet événement dans /var/log/messages (le fichier par défaut de l'enregistrement des événements système). L'enregistrement est important pour des raisons de sécurité – En faisant des statistiques sur /var/log/messages on verra qui a essayé d'accéder au système. Notons que nous ne suivons pas qui s'est connecté au système mais qui a essayé de se connecter.
+Avant de l'accepter, écrivons dans le system log (le journal système) qu'un accès a été autorisé sur le port 22. Nous allons enregistrer cet événement dans /var/log/messages (le fichier par défaut de l'enregistrement des événements système). L'enregistrement est important pour des raisons de sécurité. En faisant des statistiques sur /var/log/messages, on verra qui a essayé d'accéder au système. Notons que nous ne suivons pas qui s'est connecté au système, mais qui a essayé de se connecter :
 iptables -A INPUT -j LOG --log-prefix "Accepted SSH " --log-level 7
@@ Ligne 261: / Ligne 261: @@
 iptables -A INPUT -j DROP**
-Au cas où nous aurions raté quoi que ce soit, chaque connexion arrivant sur la commande ci-dessus sera bloquée (rappelez-vous : nous bloquons tout par défaut à moins que ce ne soit spécifiquement mentionné).
+Au cas où nous aurions raté quelque chose, chaque connexion arrivant sur la commande ci-dessus sera bloquée (rappelez-vous : nous bloquons tout par défaut à moins que ce ne soit spécifiquement mentionné).
 iptables -A INPUT -j DROP
@@ Ligne 273: / Ligne 273: @@
 Ce n'est pas obligatoire, mais nous pouvons ajouter quelques sécurités additionnelles aux règles ci-dessus.
-Imaginons que quelqu'un veuille attaquer notre système en essayant toutes les combinaisons possibles de clés RSA – cela s'appelle une attaque par force brute. Pas de problème. Avec une clé RSA de 10K c'est très improbable (remarquez le mot probable – en terme de sécurité on ne peut jamais être sûr!)
+Imaginons que quelqu'un veuille attaquer notre système en essayant toutes les combinaisons possibles de clés RSA – cela s'appelle une attaque par force brute. Pas de problème. Avec une clé RSA de 10 K, c'est très improbable (remarquez le mot probable, en termes de sécurité on ne peut jamais être sûr !)
-On peut faire quelque chose contre cela – si une adresse IP spécifique essaie de se connecter plus de x fois (disons 5) à notre serveur sur le port 22, nous pouvons temporairement interdire cette adresse IP pendant quelques minutes – disons 5 (300 secondes). Ça veut donc dire pratiquement qu'un attaquant peut essayer 5 combinaisons toutes les 5 minutes. Comme vous le comprendrez certainement, la force brute sera inopérante à ce rythme !!!
+On peut faire quelque chose contre cela : si une adresse IP spécifique essaie de se connecter plus de x fois (disons 5) à notre serveur sur le port 22, nous pouvons temporairement interdire cette adresse IP pendant quelques minutes, disons 5 (300 secondes). Ça veut donc dire pratiquement qu'un attaquant peut essayer 5 combinaisons toutes les 5 minutes. Comme vous le comprendrez certainement, la force brute sera inopérante à ce rythme !!!
 **Below, we're telling iptables to keep track of connections to port 22 for 300 seconds. If a (failed) hit count gets to 5, the connection is denied for the next 5 minutes:
@@ Ligne 283: / Ligne 283: @@
 iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 5 --name DEFAULT --rsource -j DROP**
-Ci-dessous nous allons dire à iptables de conserver une trace des connexions sur le port 22 pendant 300 secondes. Si le nombre de requêtes (qui n'ont pas abouti) arrive à 5 alors le trafic (pour cette IP ndlr) est rejeté pendant 5 minutes :
+Ci-dessous, nous disons à iptables de conserver une trace des connexions sur le port 22 pendant 300 secondes. Si le nombre de requêtes (qui n'ont pas abouti) arrive à 5, alors le trafic [Ndt : pour cette IP] est rejeté pendant 5 minutes :
 iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
@@ Ligne 307: / Ligne 307: @@
 iptables -A INPUT -j DROP
-Attention – cette règle s'applique aussi à vous !
+Attention : cette règle s'applique aussi à vous !
 **More about logging and checking who tried to access the system...
@@ Ligne 318: / Ligne 318: @@
 Allons plus loin dans la liste et la vérification de ceux qui ont cherché à se connecter au système…
 Cette commande va afficher toutes les tentatives de connexion à votre système :
 cat /var/log/messages | grep “Accepted SSH”
-Cela va vous donner très rapidement une très longue liste (« rapidement » voulant dire après quelques minutes d'utilisation du serveur) qui ne sera pas facile à lire.
+Cela vous donnera très rapidement (« rapidement » voulant dire après quelques minutes d'utilisation du serveur) une très longue liste qui ne sera pas facile à lire.
 **This revised version is probably more useful and will give the list of unique IP attempts – sorted by number of connection attempts:
@@ Ligne 336: / Ligne 337: @@
 • It sorts descending as numbers (sort -n).**
-Cette version modifiée est certainement plus utilisable et va vous donner la liste des adresses IP qui ont tenté de se connecter, classée par nombre de tentatives de connexion. :
+Cette version modifiée est certainement plus utile et vous donnera la liste des adresses IP qui ont tenté de se connecter, classée par nombre de tentatives de connexion :
 cat /var/log/messages | grep "Accepted SSH" | awk -FSRC= '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n
 Une rapide explication de cette commande :
-  * Elle affiche le contenu du fichier /var/log/messages.
+  • Elle affiche le contenu du fichier /var/log/messages.
-  * Elle ne conserve que les lignes où les mots clés « Accepted SSH » existent
+  • Elle ne conserve que les lignes où les mots clés « Accepted SSH » existent.
-  * Elle récupère le texte suivant le mot clé « SRC = » (adresse IP de la connexion entrante)
+  • Elle récupère le texte qui suit le mot clé « SRC= » (adresse IP de la connexion entrante).
-  * Elle ordonne la liste.
+  • Elle ordonne la liste.
-  * Elle ne conserve que les adresses IP uniques mais compte le nombre d’occurrences de chaque IP.
+  • Elle ne conserve que les adresses IP uniques, mais compte le nombre d’occurrences de chaque IP.
-  * Elle classe les nombres par ordre décroissant (sort -n).
+  • Elle classe les nombres par ordre décroissant (sort -n).
 **The goal of this article is firewall and security. However, I strongly believe that security and scripting go hand-in-hand. Logging intrusion attempts is great but not using the data is useless. As you can see, a quick shell command was able to provide very useful information – extremely quickly. I can now, for example, ban the topmost 10 IPs who tried to log in to my system.**
-Le sujet de cet article est le pare-feu et la sécurité. Toutefois je crois fermement que la sécurité et l'écriture de scripts vont de pair. Identifier les tentatives d'intrusion est parfait, mais le faire sans utiliser les données correspondantes ne sert à rien. Vous voyez comment une commande shell a pu nous fournir des informations extrêmement intéressantes – très rapidement. Je peux maintenant, par exemple, bloquer les 10 adresses IP qui ont essayé de s'introduire dans mon système le plus fréquemment.
+Le sujet de cet article est le pare-feu et la sécurité. Toutefois, je crois fermement que la sécurité et l'écriture de scripts vont de pair. Identifier les tentatives d'intrusion est parfait, mais le faire sans utiliser les données correspondantes ne sert à rien. Comme vous l'avez constaté, une commande shell rapide a pu nous fournir des informations extrêmement intéressantes, très rapidement. Je peux maintenant, par exemple, bloquer les 10 adresses IP qui ont essayé de s'introduire dans mon système le plus fréquemment.
 **The following command will ban the IP 10.10.10.10 by inserting the rule on top of all rules (-I INPUT 1):
@@ Ligne 358: / Ligne 359: @@
 Have fun and please make sure not to ban… yourself!**
-La commande suivante va interdire l'adresse IP 10.10.10.10 en donnant à cette règle priorité sur toutes les autres.
+La commande suivante va interdire l'adresse IP 10.10.10.10 en insérant cette règle en haut de la liste de toutes les autres.
 iptables -I INPUT 1 -s 10.10.10.10 -j DROP
@@ Ligne 373: / Ligne 374: @@
 • DNS (so our requests can be resolved!), this is port 53.**
-– Règles concernant le trafic sortant.
+– Règles concernant le trafic sortant
-Très souvent, les pare-feu ne mettent en place des règles que pour le trafic entrant – ce qui signifie qu'ils ouvrent grandes les portes du trafic sortant. Ce n'est pas une bonne façon de faire – imaginez qu'un pirate s'introduise dans votre ordinateur et arrive à installer un logiciel serveur qui pourra alors créer un tunnel, via un port aléatoire, jusqu'au serveur de l'attaquant et ainsi offrir un accès complet de votre système à l'attaquant.
+Très souvent, les pare-feu ne mettent en place des règles que pour le trafic entrant – ce qui signifie qu'ils ouvrent grandes les portes du trafic sortant. Ce n'est pas une bonne façon de faire ; imaginez qu'un pirate s'introduise dans votre ordinateur et arrive à installer un logiciel serveur qui pourra alors créer un tunnel, via un port aléatoire, jusqu'au serveur de l'attaquant et lui fournir ainsi l'accès complet à votre système.
-Nous allons donc également combler cette lacune. Nous allons principalement donner accès au trafic sortant à :
+Nous allons donc combler cette lacune aussi. Nous allons principalement donner accès au trafic sortant à :
-  * SSH (pour notre accès à distance), c'est le port TCP 22.
+  • SSH (pour notre accès à distance), c'est le port TCP 22.
-  * HTTP et HTTPS (pour les pages internet), ce sont les ports 80 et 443.
+  • HTTP et HTTPS (pour les pages Internet), ce sont les ports 80 et 443.
-  * DNS (pour que nos requêtes puissent aboutir !), c'est le port 53.
+  • DNS (pour que nos requêtes puissent aboutir !), c'est le port 53.
 **You probably got the point:
@@ Ligne 387: / Ligne 388: @@
 • Allow SSH, DNS, HTTP & HTTPS.**
-Vous avez probablement déjà noté les points suivants :
+Vous avez probablement déjà compris :
-  * Par défaut, bloquer tout trafic sortant, à moins que nous ne l'autorisions spécifiquement.
+  • Par défaut, bloquer tout trafic sortant, à moins que nous ne l'autorisions spécifiquement.
-  * Permettre des connexions à l'hôte local (le serveur lui même)
+  • Permettre des connexions à l'hôte local (le serveur lui même).
-  * Permettre SSH, DNS, HTTP et HTTPS.
+  • Permettre SSH, DNS, HTTP et HTTPS.
 iptables -P OUTPUT DROP
@@ Ligne 430: / Ligne 431: @@
 **And make sure all rules were really deleted – you should see this:**
-Et s'assurer que toutes les règles ont bien été effectivement effacées. Vous devez voir cela :
+Et s'assurer que toutes les règles ont bien été effacées. Vous devez voir cela :
@@ Ligne 440: / Ligne 441: @@
 • Run the file. For my example, I'll call this file /usr/local/sbin/firewall.sh**
-Vous devez écrire toutes les règles du pare-feu dans un fichier texte (voir l'encadré page suivante).
+Vous devez alors écrire toutes les règles du pare-feu dans un fichier texte (voir l'encadré page suivante).
-De façon à tester tout cela, je recommanderais les choses suivantes :
+De façon à tester tout ceci, je recommanderais les choses suivantes :
-  * Utilisez wget pour obtenir les blocs d'IP et conservez les fichiers.
+• Utilisez wget pour obtenir les blocs d'IP et conservez les fichiers.
-  * Copiez/collez les codes ci-dessus dans un fichier shell (un fichier texte portant l'extension sh et rendez-le exécutable avec l'instruction chmod +x [nom du fichier]).
+• Copiez/collez les codes ci-dessus dans un fichier shell (un fichier texte portant l'extension .sh et rendez-le exécutable avec l'instruction chmod +x [nom du fichier]).
-  * Exécutez le fichier. Dans mon exemple, je l'ai appelé /usr/local/sbin/firewall.sh
+• Exécutez le fichier. Dans mon exemple, je l'ai appelé /usr/local/sbin/firewall.sh
 **You should now have the firewall fully loaded and operational.
@@ Ligne 453: / Ligne 454: @@
 When you run the file, your terminal will be “locked”. This is because we reset the firewall by blocking all rules by default. Just try connecting again to iceberg from another terminal. If it works – you should be all set, but, if you cannot, stop and restart the VM from the Digital Ocean panel. After the restart, the rules are not loaded, so you can fix that problem: For example, I allowed the US IP blocks because I live in the US, did you load the right blocks of IPs from where you live?**
-Vous devez avoir maintenant un pare-feu chargé et opérationnel.
+Maintenant le pare-feu doit être entièrement chargé et opérationnel.
 IMPORTANT – iptables -F remet le pare-feu à zéro et ferme votre session SSH !
-Quand vous lancez le fichier, votre terminal sera « bloqué ». Cela est dû à la ré-initialisation du pare-feu en bloquant toutes les règles par défaut. Essayez juste de vous reconnecter à Iceberg depuis un autre terminal. Si cela fonctionne – vous devriez être opérationnel, mais, si vous n'y arrivez pas, arrêtez et redémarrez la machine virtuelle (VM) à partir du panneau de Digital Ocean. Après le redémarrage, les règles ne sont pas chargées, vous pouvez donc résoudre ce problème : par exemple, j'ai permis le bloc d'adresses IP des USA parce que j'habite aux USA, mais vous, avez-vous bien chargé le bloc d'adresses IP de l'endroit où vous vivez ?
+Quand vous lancez le fichier, votre terminal sera « verrouillé ». Cela est dû à la ré-initialisation du pare-feu en bloquant toutes les règles par défaut. Essayez juste de vous reconnecter à Iceberg depuis un autre terminal. Si cela fonctionne, vous devriez être opérationnel, mais, si vous n'y arrivez pas, arrêtez et redémarrez la machine virtuelle (VM) à partir du panneau de Digital Ocean. Après le redémarrage, les règles ne sont pas chargées et vous pouvez donc résoudre le problème : par exemple, j'ai permis le bloc d'adresses IP des USA parce que j'habite aux USA, mais vous, avez-vous bien chargé le bloc d'adresses IP de l'endroit où vous vivez ?
 **I will now suppose everything worked well – we will then set both scripts to run at startup.
@@ Ligne 463: / Ligne 464: @@
 In ubuntu 14.04, edit and add both files to /etc/rc.local (shown below).**
-Je vais maintenant supposer que tout s'est bien passé – nous allons ensuite mettre en place les deux scripts qui doivent s'exécuter au démarrage.
+Je vais maintenant supposer que tout s'est bien passé. Nous allons ensuite mettre en place les deux scripts qui doivent s'exécuter au démarrage.
-Dans Ubuntu 14.04, editez et ajoutez les deux fichier à /etc/rc.local (voir plus bas).
+Dans Ubuntu 14.04, éditez et ajoutez les deux fichiers à /etc/rc.local (voir plus bas).
 **Note the sleep 10 – we're telling iceberg to wait 10 seconds before running our scripts – this is to ensure that the network is up & running before we set up the firewall.
@@ Ligne 471: / Ligne 472: @@
 I know a few of you may find the sleep 10 not optimal and would rather use upstart's dependencies rules. I personally think it is too much trouble and safe enough (even if somebody connects in those 10 seconds, he'd be locked by the iptables -F) – not to mention that upstart seems to be end-of-life software (even Canonical decided to switch to systemd in newer Ubuntu versions – this doesn't mean I support or not systemd, I am just noting Canonical’s decision).**
-Notez l'instruction sleep 10 – nous disons à Iceberg d'attendre 10 secondes avant de lancer nos scripts – c'est pour s'assurer que le réseau est en place et fonctionne avant que nous ne paramétrions le pare-feu.
+Notez l'instruction sleep 10 : nous disons à Iceberg d'attendre 10 secondes avant de lancer nos scripts, c'est pour s'assurer que le réseau est en place et fonctionne avant que nous ne paramétrions le pare-feu.
-Je sais qu'un nombre d'entre vous n'apprécieront pas le sleep 10 et préféreront utiliser les règles des dépendances de l'upstart. Personnellement ça me semble trop compliqué et suffisamment sûr comme cela ( même si quelqu'un se connecte durant ces 10 secondes, il sera bloqué par le iptables -F) – il est à noter que le logiciel upstart semble être en fin de vie (même Canonical a décidé de basculer sur systemd dans les nouvelles versions d'Ubuntu – ce qui ne signifie pas que je supporte ou non systemd, je précise juste que c'est la décision de Canonical).
+Je sais qu'un certain nombre d'entre vous n'apprécieront pas le sleep 10 et préféreront utiliser les règles des dépendances de l'upstart. Personnellement ça me semble trop compliqué et le sleep 10  est suffisamment sûr (même si quelqu'un se connecte durant ces 10 secondes, il sera bloqué par le iptables -F) – il est à noter aussi que le logiciel upstart semble être en fin de vie (même Canonical a décidé de basculer sur systemd dans les nouvelles versions d'Ubuntu – ce qui ne signifie pas que je suis partisan ou non  de systemd, je précise juste que c'est la décision de Canonical).
 **Anyway, during your next reboot, you should be automatically all set, with a system pretty well protected against intrusions.
@@ Ligne 488: / Ligne 489: @@
 De toute façon, lors de votre prochain démarrage, vous devriez être automatiquement bien réglé avec un système plutôt bien protégé contre les intrusions.
-Si vous voulez vous assurer que les scripts on été correctement exécutés, exécutez cette instructions comme administrateur (root) :
+Si vous voulez vous assurer que les scripts on été correctement exécutés, lancez cette instruction comme administrateur (root) :
 iptables -L
@@ Ligne 494: / Ligne 495: @@
 Et vous devriez voir les règles du pare-feu apparaître à l'écran.
-Le mois prochain, nous allons installer Apache (le serveur internet) et le sécuriser.
+Le mois prochain, nous installerons Apache (le serveur Internet) et nous le sécuriserons.