Soit une passerelle entre un LAN et Internet. Le LAN à le plan d'adressage 192.168.1.0/24 (192.168.1.254 pour la passerelle) et la passerelle à l'adresse publique 1.2.3.4.

Sur le LAN, il y a également un serveur Web à l'adresse 192.168.1.253.

Sur le serveur Web, on voudra autoriser le service HTTP (TCP/80)

# iptables -I INPUT 2 -p tcp --dport 80 -j ACCEPT

Pour les machine sur le LAN, il faut faire du camouflage (MASQUERADE en anglais)

# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

Pour que les clients sur Internet puisse joindre le serveur Web, il faut rediriger le port TCP/80 de la passerelle sur le port TCP/80 du serveur Web

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.1.253