7.5. Демилитаризованные зоны и iptables

Правила также могут маршрутизировать трафик к определённым компьютерам, например, к выделенному HTTP или FTP-серверу, предпочтительно изолированному от внутренней сети в демилитаризованной зоне (DMZ). Ниже показано правило пересылки всех входящих HTTP-запросов на порт 80 сервера с IP-адресом 10.0.4.2 (вне локальной сети 192.168.1.0/24), которое перенаправляет пакеты к нужному назначению с помощью сетевого преобразования в цепочке PREROUTING:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT \
	    --to-destination 10.0.4.2:80

Эта команда маршрутизирует все HTTP-соединения из внешней сети к HTTP-серверу, отделённому от остальной внутренней сети. Такое разделение сети может оказаться безопаснее, чем разрешение HTTP-соединений с компьютерами в локальной сети. Если HTTP-сервер настроен на защищённые соединения, также необходимо перенаправлять порт 443.