1. 在一臺Linux主機上安裝2塊網(wǎng)卡ech0和ech1，給ech0網(wǎng)卡分配一個內(nèi)部網(wǎng)的私有地址191.168.100.0，用來與Intranet相連; 給ech1網(wǎng)卡分配一個公共網(wǎng)絡(luò)地址202.101.2.25，用來與Internet相連。
   
2. Linux主機上設(shè)置進入、轉(zhuǎn)發(fā)、外出和用戶自定義鏈。本文采用先允許所有信息可流入和流出，還允許轉(zhuǎn)發(fā)包，但禁止一些危險包，如IP欺騙包、廣播包和ICMP服務(wù)類型攻擊包等的設(shè)置策略。

/sbin/ipchains  -F forward
/sbin/ipchains  -F input
/sbin/ipchains  -F output

/sbin/ipchains  -A input  -j ACCEPT   
/sbin/ipchains  -A output  -j ACCEPT  
/sbin/ipchains  -A forward -j ACCEPT

/sbin/ipchains  -A input -j ACCEPT  -  i lo  
/sbin/ipchains  -A output -j ACCEPT  -  i lo  

/sbin/ipchains  -A input -j DENY 
-  i  ech1 - s 192.168.100.0/24
/sbin/ipchains  -A input -j DENY  
-  i  ech1 - d 192.168.100.0/24
/sbin/ipchains  -A output -j DENY
-  i  ech1 - s 192.168.100.0/24
/sbin/ipchains  -A output -j DENY 
-  i  ech1 - d 192.168.100.0/24
/sbin/ipchains  -A input -j DENY 
-  i  ech1 -s 202.101.2.25/32
/sbin/ipchains  -A output -j DENY
-  i  ech1 -d 202.101.2.25/32

/sbin/ipchains  -A input -j DENY  
-  i  ech0 - s 255.255.255.255
/sbin/ipchains  -A input -j DENY  
-  i  ech0 - d 0.0..0.0
/sbin/ipchains  -A output -j DENY 
-  i  ech0 - s 240.0.0.0/3

/sbin/ipchains  -A forword -j MASQ
-  i  ech0- s 192.168.100.0/24

/sbin/ipchains  -A forword -j ACCEPT 
-  i  ech1- s 192.168.100.0/24
/sbin/ipchains  -A forword -j ACCEPT 
-  i  ech1- d 192.168.100.0/24

)，還可構(gòu)建更加安全的復(fù)合型防火墻。