FW_DEV_EXT（防火墙，伪装）
链接到因特网的设备。对于调制解调器连接，请输入 ppp0。对于 ISDN 链
接，请使用 ippp0。DSL 连接使用 dsl0。指定 auto 使用与默认路由对应
的接口。
FW_DEV_INT（防火墙，伪装）
链接到内部专用网络的设备（如 eth0）。如果内部网络不存在，防火墙只
保护它运行所在的主机，则应将此项保留为空白。
FW_ROUTE（防火墙，伪装）
如果需要伪装功能，请将此项设置为 yes。内部主机对外将是不可见的，因
为因特网路由器将忽略内部主机的专用网络地址（例如 192.168.x.x）。
对于未使用伪装功能的防火墙而言，只有在您希望允许访问内部网络时才应
将此项设置为 yes。在此情况下，内部主机需要使用正式注册的 IP。但在
通常情况下，应禁止从外部访问您的内部网络。
FW_MASQUERADE（伪装）
如果需要伪装功能，则将此项设置为 yes。这实际上为内部主机提供了与因
特网的直接连接。但更保险的做法是在内部网络主机和因特网主机之间设置
代理服务器。代理服务器提供的服务不需要伪装。
FW_MASQ_NETS（伪装）
指定要伪装的主机或网络，各个项之间要留有空格。例如：
FW_MASQ_NETS="192.168.0.0/24 192.168.10.1"
FW_PROTECT_FROM_INT（防火墙）
将此项设置为 yes 可以保护防火墙主机免遭来自内部网络的攻击。只有已
经显式启用服务，才可以在内部网络中使用这些服务。另请参见
FW_SERVICES_INT_TCP 和 FW_SERVICES_INT_UDP。
FW_SERVICES_EXT_TCP（防火墙）
输入应该可用的 TCP 端口。对于不应提供任何服务的家用普通工作站，应
将此项保留为空白。
FW_SERVICES_EXT_UDP（防火墙）
除非您运行 UDP 服务并希望此服务对外部可用，否则将此项保留为空白。
使用 UDP 的服务包括 DNS 服务器、IPSec、TFTP、DHCP 及其它。在此情
况下，请输入要使用的 UDP 端口。
FW_SERVICE_EXT_TCP,FW_SERVICE_EXT_UDP 中指定的服务端口对所有的外部地址开放，如果要限定只有某些源地址才能访问某个端口，必须使用
FW_ACCEPT_EXT 这个设置选项。

100 参考
FW_SERVICES_INT_TCP（防火墙）
使用此变量定义可用于内部网络的服务。变量表示法与
FW_SERVICES_EXT_TCP 的表示法相同，但变量设置适用于内部网络。只
有在 FW_PROTECT_FROM_INT 设置为 yes 时才需要设置此变量。
FW_SERVICES_INT_UDP（防火墙）