Le regole possono essere impostate in modo da dirigere il traffico a determinate macchine, come ad esempio un server FTP o HTTP, preferibilmente un server isolato dalla rete interna su di una zona demilitarizzata (DMZ). Per impostare una regola per dirigere tutte le richieste HTTP in entrata ad un server HTTP dedicato su di un indirizzo IP 10.0.4.2, e porta 80 (al di fuori della gamma 192.168.1.0/24 della LAN), il network address translation (NAT) chiama una tabella PREROUTING per inoltrare i pacchetti alla destinazione corretta:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT \ --to-destination 10.0.4.2:80 |
Con questo comando, tutti i collegamenti HTTP alla porta 80 esterni alla LAN, vengono diretti al server HTTP su di una rete separata dal resto della rete interna. Questa forma di segmantazione della rete può risultare più sicura dei collegamenti HTTP ad una macchina su di una rete. Se il server HTTP è configurato in modo da accettare collegamenti sicuri, allora la porta 443 deve essere inoltrata.