1. 在一台Linux主机上安装2块网卡ech0和ech1，给ech0网卡分配一个内部网的私有地址191.168.100.0，用来与Intranet相连; 给ech1网卡分配一个公共网络地址202.101.2.25，用来与Internet相连。
   
2. Linux主机上设置进入、转发、外出和用户自定义链。本文采用先允许所有信息可流入和流出，还允许转发包，但禁止一些危险包，如IP欺骗包、广播包和ICMP服务类型攻击包等的设置策略。

/sbin/ipchains  -F forward
/sbin/ipchains  -F input
/sbin/ipchains  -F output

/sbin/ipchains  -A input  -j ACCEPT   
/sbin/ipchains  -A output  -j ACCEPT  
/sbin/ipchains  -A forward -j ACCEPT

/sbin/ipchains  -A input -j ACCEPT  -  i lo  
/sbin/ipchains  -A output -j ACCEPT  -  i lo  

/sbin/ipchains  -A input -j DENY 
-  i  ech1 - s 192.168.100.0/24
/sbin/ipchains  -A input -j DENY  
-  i  ech1 - d 192.168.100.0/24
/sbin/ipchains  -A output -j DENY
-  i  ech1 - s 192.168.100.0/24
/sbin/ipchains  -A output -j DENY 
-  i  ech1 - d 192.168.100.0/24
/sbin/ipchains  -A input -j DENY 
-  i  ech1 -s 202.101.2.25/32
/sbin/ipchains  -A output -j DENY
-  i  ech1 -d 202.101.2.25/32

/sbin/ipchains  -A input -j DENY  
-  i  ech0 - s 255.255.255.255
/sbin/ipchains  -A input -j DENY  
-  i  ech0 - d 0.0..0.0
/sbin/ipchains  -A output -j DENY 
-  i  ech0 - s 240.0.0.0/3

/sbin/ipchains  -A forword -j MASQ
-  i  ech0- s 192.168.100.0/24

/sbin/ipchains  -A forword -j ACCEPT 
-  i  ech1- s 192.168.100.0/24
/sbin/ipchains  -A forword -j ACCEPT 
-  i  ech1- d 192.168.100.0/24

)，还可构建更加安全的复合型防火墙。