Se pueden configurar las reglas para enrutar el tráfico a ciertas máquinas, tales como a un servidor HTTP o FTP dedicado, preferiblemente uno que esté aislado de la red interna en una zona desmilitarizada (DMZ). Para configurar una regla para el enrutamiento de todas las peticiones HTTP a un servidor HTTP dedicado en la dirección IP 10.0.4.2 y el puerto 80 (fuera del intervalo 192.168.1.0/24 de la LAN), la traducción de direcciones de red (NAT) llama una tabla PREROUTING para reenviar los paquetes al destino correcto:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT \ --to-destination 10.0.4.2:80 |
Con este comando, todas las conexiones HTTP al puerto 80 desde afuera de la LAN son enrutadas al servidor HTTP en una red separada del resto de la red interna. Esta forma de segmentación de la red es más segura que permitir conexiones HTTP a una máquina en la red. Si el servidor HTTP es configurado para aceptar conexiones seguras, entonces se debe también redirigir el puerto 443.