硬件需求：

　　双网卡

　　内存 > 64M

　　硬盘 > 1G 　　

　　注：

　　NAT网关本身效率都很高，所以即使在配置很低的机器上运行效率也是足够的（仍建议尽可能多的增加内存 > 256M），

　　如果需要记录日志做分析，则会产生很大的I/O操作并占用大量硬盘空间，建议使用SCSI硬盘并做日志轮循。　　

　　假设2块网卡分别按照以下网段设置：

　　内网网卡IP地址：192.168.0.1/255.255.255.0 本身为网关

　　外网网卡IP地址：111.222.111.222/255.255.255.192 网关：111.222.111.1 　　

　　安全策略： 　　

　　作为网关，安全性非常重要，建议除了远程登录用的SSH外，尽可能多的停掉所有不相关服务。

　　本安装文档只是最简单的配置，没有任何安全过滤规则，更多安全过滤规则需要根据实际情况补充。

　　FreeBSD 4.7上用IPFIREWALL做NAT网关

　　安装FreeBSD系统时包含开发平台（gcc工具等），因为内核缺省不支持地址转发和防火墙，所以需要重新编译内核。 　　

　　内核编译 　　

　　由于内核缺省不支持地址转发和防火墙，所以需要重新编译内核：

　　#cd /usr/src/sys/i386/conf/

　　#cp GENERIC GATEWAY

　　#vi GATEWAY 　　

　　修改后的内核配置：修改了名称和增加了IPFIREWALL的相关选项：

　　#diff GATEWAY GENERIC

　　25c25

　　< ident GATEWAY

　　---

　　> ident GENERIC

　　62,64d61 加入IPFIREWALL选项

　　< options IPFIREWALL

　　< options IPFIREWALL_VERBOSE

　　< options IPDIVERT 　　

　　重新编译：大约需要30分钟左右

　　#/usr/sbin/config GATEWAY

　　#cd ../../compile/GATEWAY/

　　#make depend; make; make install 　　

　　重启机器一次，确认新的KERNEL正常启动。 　　

　　修改rc.conf中的相关配置：假设内网使用网卡fxp0，外网网卡使用xl0

　　###############################################

　　gateway_enable="YES" 　　

　　ifconfig_fxp0="inet 192.168.0.1 netmask 255.255.255.0"

　　ifconfig_xl0="inet 111.222.111.222 netmask 255.255.255.0"

　　defaultrouter="111.222.111.1" 　　

　　natd_enable="YES"

　　natd_interface="xl0" 　　

　　firewall_enable="YES"

　　firewall_type="open"

　　###############################################
　　

　　防火墙过滤规则设置
　　

　　ipfw的规则是通过运行/etc/rc.firewall这个脚本生效的，rc.firewall脚本会检查rc.conf中firewall_type等配置，然后根据firewall_type定义的模式"open" "client" "simple"等切换到rc.firewall中相应部分执行。 　　

　　一个安全的防火墙本身是一个非常复杂的策略。为了方便配置，可以以rc.firewall文件为基础，在各种缺省模式的基础上加入自己的规则。缺省最简单的防火墙配置是在rc.conf里设置使用"open"模式， 　　

　　注意：修改rc.firewall配置建议从最简单的"open"模式开始，而且让修改生效前，一定将旧的成功运行的配置文件备份成rc.firewall.bak，便于以后的错误后恢复，如果防火墙配置错误可能导致远程无法登陆，因此修改防火墙配置一定要在服务器终端界面进行。
　

　　日志记录

　　文件系统优化： 使用异步文件系统提高性能async

　　vi /etc/fstab

　　/dev/da0s1f /tmp ufs rw,async 2 2

　　/dev/da0s1g /usr ufs rw,async 2 2 　　

　　修改rc.firewall中"open"模式中的配置：打开记录日志

　　#${fwcmd} add 65000 pass all from any to any

　　${fwcmd} add 65000 pass log all from any to any 　　

　　修改/etc/newsyslog.conf 增加security日志的存储上限从100k到 10000K

　　/var/log/security 600 10 10000 * Z 　　

　　新的配置生效
　　
　　修改防火墙配置后，可以用

　　#sh /etc/rc.firewall

　　让新的配置生效 　　

　　常用命令
　　
　　ipfw list：显示目前的配置规则：

　　#ipfw list

　　00050 divert 8668 ip from any to any via xl0

　　00100 allow ip from any to any via lo0

　　00200 deny ip from any to 127.0.0.0/8

　　00300 deny ip from 127.0.0.0/8 to any

　　65000 allow log ip from any to any

　　65535 deny ip from any to any 　　

　　ipfw show：显示各种规则的统计信息

　　# ipfw show

　　00050 1008267 632203534 divert 8668 ip from any to any via vr0

　　00100 0 0 allow ip from any to any via lo0

　　00200 0 0 deny ip from any to 127.0.0.0/8

　　00300 0 0 deny ip from 127.0.0.0/8 to any

　　65000 1782079 1257247553 allow ip from any to any

　　65535 36 31871 deny ip from any to any
　　

　　RedHat 8上用iptables做NAT网关
　　

　　将下列内容加入/etc/rc.local文件中：eth0绑内网IP eth1绑外网IP

　　################

　　echo 1 > /proc/sys/net/ipv4/ip_forward

　　/sbin/modprobe ip_tables

　　/sbin/modprobe iptable_filter

　　/sbin/modprobe iptable_nat

　　/sbin/modprobe ip_conntrack

　　/sbin/modprobe ip_conntrack_ftp

　　/sbin/modprobe ip_nat_ftp

　　/sbin/iptables --flush INPUT

　　/sbin/iptables --flush FORWARD

　　/sbin/iptables --flush POSTROUTING --table nat

　　/sbin/iptables --policy FORWARD DROP

　　/sbin/iptables --table nat --append POSTROUTING --out-interface eth1 --source 192.168.0.0/24 --jump MASQUERADE

　　/sbin/iptables --append FORWARD --in-interface eth1 --match state --state ESTABLISHED,RELATED --jump ACCEPT

　　/sbin/iptables --append FORWARD --source 192.168.0.0/24 --jump ACCEPT

　　################ 　　

　　iptables --list查看过滤表