Puede crear reglas de iptables para enrutar tráfico a ciertos equipos, como por ejemplo un servidor HTTP o FTP dedicado, en una zona desmilitarizada (DMZ, por las iniciales en inglés de DeMilitarized Zone). Un DMZ es una subred local especial dedicada a proveer servicios en un transporte público, como lo es Internet.

Por ejemplo, para establecer una regla para enrutar peticiones HTTP entrantes a un servidor dedicado HTTP en 10-0-4-2 (fuera del rango 192.168.1.0/24 de la LAN), NAT utiliza la tabla PREROUTING para reenviar los paquetes a la dirección apropiada:

[root@miServidor ~ ] # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 10.0.4.2:80

Con este comando, todas las conexiones HTTP al puerto 80 provenientes desde fuera de la LAN son encaminadas al servidor HTTP en la red separada del resto de la red interna. Esta forma de segmentación de red puede proveer seguridad permitiendo conexiones HTTP a máquinas en la red.

Si el servidor HTTP está configurado para aceptar conexiones seguras, entonces el puerto 443 debe ser reenviado también.