Des règles peuvent également être définies de façon à router le trafic vers certains ordinateurs, comme un serveur HTTP ou FTP dédié, isolés de préférence du réseau interne sur une zone démilitarisée (DMZ). Pour définir une règle de façon à router toutes les requêtes HTTP entrantes vers un serveur HTTP dédié à l'adresse IP 10.0.4.2 et au port 80 (en dehors de la plage 192.168.1.0/24 du LAN), la traduction d'adresses réseau (NAT) fait appel à une table PREROUTING afin de rediriger les paquets vers leur correcte destination :
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT \ --to-destination 10.0.4.2:80 |
À l'aide de cette commande, toutes les connexions HTTP vers le port 80 provenant de l'extérieur du LAN sont routées vers le serveur HTTP sur un réseau séparé du reste du réseau interne. Cette forme de segmentation de réseau peut s'avérer plus sécurisée que le fait d'autoriser des connexions HTTP vers une machine sur le réseau. Si le serveur HTTP est configuré de façon à accepter des connexions sécurisées, le port 443 doit alors être également redirigé.
Précédent | Sommaire | Suivant |
Règles FORWARD et NAT | Niveau supérieur | Virus et adresses IP usurpées |