7.5. DMZ と iptables

また、ルールは、専用HTTPサーバーやFTPサーバーなど、DMZ(非武装地帯)上の内部ネットワークから 隔離されているような特定のマシンにトラフィックをルーティングするよう設定することもできます。 着信HTTP要求すべてをIPアドレス 10.0.4.2、ポート80にある専用HTTPサーバーにルーティングする ルールを設定するために(LANの192.168.1.0/24範囲外)、 NAT(Network Address Translation)がPREROUTINGテーブルを呼び出してパケットを正しい目的地にフォワードします。

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT \
	    --to-destination 10.0.4.2:80

このコマンドで、LAN外部からのポート80へのHTTP接続はすべて内部ネットワークの 他とは異なるネットワーク上にあるHTTPサーバーにルーティングされます。 こうしたネットワーク区分化は、ネットワーク上でマシンにHTTP接続を許可するよりも安全です。 HTTPサーバーがセキュアな接続を受け取るよう設定されている場合、 ポート443もフォワードされる必要があります。