7.5. DMZs 與 iptables

也可以設定規則來傳送流量到某些機器,例如一部既定的 HTTP 或 FTP 伺服器,最好是一部位於內部網路之外 的非軍事區域(DMZ)。 如要設定一個規則來傳送所有外來的 HTTP 要求到一部擁有 10.0.4.2 IP 位址與連接埠 號 80 的 HTTP 伺服器(區網 192.168.1.0/24 範圍之外),網路位址轉譯(NAT)將會呼叫一個 PREROUTING 表格來轉送封包到適當的目的地:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT \
	    --to-destination 10.0.4.2:80

藉由這個指令,所有來自區網外到連接埠號 80 的 HTTP 連線都將會轉送到與其於內部網路區隔之網路中的 HTTP 伺服器。 這個網路區隔的形式可以保證比允許 HTTP 連線到網路中一部機器還要安全。 假如設定 HTTP 伺服器接受安全的連線,那麼也必須轉送連接埠號 443。