やってみたら意外と簡単。最小構成でDebian 4.0をいれて、/etc/sysctl.confを編集（ここに最初気づかずこまった）。
あとはiptablesでいろいろルールを設定するのみ。

• http://www.dream-seed.com/pukiwiki/index.php?Linux%2Fiptables%A4%C7%A5%EB%A1%BC%A5%BF%A4%F2%BA%EE%A4%EB
• http://www.atmarkit.co.jp/flinux/rensai/iptables02/iptables02a.html

なんかを参考にしながら、適当にルールを設定。方針はLAN内からはNATで外に出れるようにするけれど、
基本は遮断。HTTP、HTTPS等必要なものから随時許可する。WANからは基本的に遮断。唯一SSHでのコネクションは
LAN内のサーバーに飛ばす。
（ルーターには外からのSSHを許可しない。これは/etc/ssh/sshd_confで管理。）

ありゃ。できちゃった。

# modprobe ip_nat_ftp