Translation de port (port forwarding) / DNAT (Destination NAT)

Entre autres sources :
  https://www.netfilter.org/documentation/HOWTO/fr/NAT-HOWTO.html
  https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/4/html/Security_Guide/s1-firewall-ipt-fwd.html


Inspiré de situation réelle sur serveur Proxmox OVH :
    iptables -t nat -A PREROUTING -p tcp -i enp3s0 --dport 80 -j DNAT --to-destination 10.0.3.16:80


- Installation d'un serveur Web (Apache ou Nginx) sur le "client".
- Autorisation de réception de paquets sur le port 80 de son interface réseau :
    iptables -I INPUT 3 -i ens33 -p tcp --dport 80 -j ACCEPT


Rediriger les paquets arrivant sur le port 8080 du "relais" vers le port 80 du "client" :
    export LANWEBSRVIP=10.10.10.1
    iptables -t nat -A PREROUTING -i $WANIF -p tcp --dport 8080 -j DNAT --to-destination $LANWEBSRVIP:80

ATTENTION ! SI la politique de la chaîne FORWARD est DROP ALORS il est nécessaire d'y ajouter une règle (SI CELA N'A PAS ÉTÉ FAIT PRÉALABLEMENT) :
    iptables -A FORWARD -i $WANIF -p tcp -d $LANWEBSRVIP --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT



Évoquer alternative (au moins en ce qui concerne le protocole TCP UNIQUEMENT) avec xinetd.
Ou encore avec redir (packagé sur Ubuntu), ici encore limité à du TCP.


NOTE : pour accepter les requêtes ICMP (ping) :
    iptables -A INPUT -p icmp -j ACCEPT