7.5. DMZs und iptables

Die Regeln können auch dafür verwendet werden, den Verkehr zu bestimmten Maschinen zu leiten, wie zum Beispiel einem ausgewiesenen HTTP- oder FTP-Server, vorzugsweise ein Server, der vom internen Netzwerk in einer demilitarisierten Zone (DMZ) isoliert ist. Um eine Regel für das Routen von allen eingehenden HTTP-Anfragen zu einem ausgewiesenen HTTP-Server auf IP-Adresse 10.0.4.2 und Port 80 festzulegen (außerhalb der 192.168.1.0/24 Reichweite des LAN), ruft Network Address Translation (NAT) eine PREROUTINGTabelle auf. Damit werden die Pakete an das richtige Ziel weitergeleitet:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT \
	    --to-destination 10.0.4.2:80

Mit diesem Befehl werden alle HTTP-Verbindungen zu Port 80 von außerhalb des LAN auf den HTTP-Server in ein vom Rest des internen Netzwerks getrenntes Netzwerk geleitet. Diese Art der Netzwerksegmentierung kann sicherer sein, als wenn die HTTP-Verbindungen auf einer Maschine im Netzwerk gestattet werden. Wenn der HTTP-Server so konfiguriert ist, dass er sichere Verbindungen akzeptiert, dann muss auch Port 443 weitergeleitet werden.