7.5. DMZs e iptables

Regras também podem definidas para determinadas máquinas, como um servidor dedicado HTTP ou FTP, preferencialmente um que esteja isolado da rede interna em uma zona desmilitarizada (de-militarized zone - DMZ). Para definir uma regra para rotear todos os pedidos HTTP externos para um servidor HTTP dedicado no endereço IP 10.0.4.2 e porta 80 (fora do intervalo 192.168.1.0/24 da LAN), a tradução de endereço de rede (NAT) evoca a tabela PREROUTING para encaminhar os pacotes para o destino apropriado:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT \
	    --to-destination 10.0.4.2:80

Com este comando, todas as conexões HTTP para a porta 80 de fora da LAN são roteadas ao servidor HTTP em uma rede separada do resto da rede interna. Esta forma de segmentação de rede pode ser mais segura que permitir conexões HTTP para uma máquina na rede. Se o servidor HTTP estiver configurado para aceitar conexões seguras, então a porta 443 deve ser encaminhada também.