زمانی که شما سرویس NAT را برای شبکه خود فعال می کنید کامپیوترهای داخل شبکه شما به شبکه های بیرونی که می تواند اینترنت باشد دسترسی خواهند داشت. حال فرض کنید که نیاز به برعکس این حالت داشته باشید و کاربران شبکه بیرونی نیاز به سرویس هایی که برروی کامپیوترهای شبکه داخلی شما هستند دارند، در این حالت شما نیاز به Redirection دارید. Redirection اجازه ارسال ترافیک از طریق NAT را به سیستم هایی که پشت این سرویس قرار دارند را می هد. در بعضی از موارد این بخش برای DMZ استفاده می شوند با این روش سرویس ها از دسترس مستقیم کاربران خارج می شود و یک firewall مدیریت ترافیک و مدیریت بار هر سرویس را برعهده می گیرد. این بخش را با یک مثال در این زمینه شروع می کنیم:
در این مثال سرویس web که برروی آدرس ۱۹۲٫۱۶۸٫۱٫۲۰ قرار دارد و در پشت nat قرار گرفته است برای سایر دستگاه های خارج از NAT قابل دسترس می شود. گاهی اوقات استفاده از سرویس from any to any به دلایل امنیتی درست نیست وشما می توانید دسترسی را با اضافه کردن یک رنج از آدرس IP خاص محدود کنید این عمل در مثال زیر نمایش داده شده است:
pass in on tl0 proto tcp from 27.146.49.0/24 to any port 80 rdr-to 192.168.1.20
حال شما با این فرمان فقط به یک سری آدرس خاص دسترسی دارید. در حالتی دیگر شما می توانید ترافیک را مدیریت کنید و ترافیک یک بخش از شبکه را به سمت یک سرور و بخش دیگر را به سمت سرور دیگر هدایت کنید. در زیر مثالی از این دست آورده شده:
pass in on tl0 proto tcp from 16.114.4.89 to any port 80 rdr-to 192.168.1.22
pass in on tl0 proto tcp from 24.2.74.178 to any port 80 rdr-to 192.168.1.23
البته از دیدگاه امنیتی این عمل درست نیست چون اگر سرور شما دارای یک باگ در سیستم خودش باشد و کامپیوترها از بیرون به آن دسترسی پیدا کند با استفاده از این باگ به کل شبکه شما دسترسی پیدا می کند. برای جلوگیری از این عمل باید سرورها را در یک شبکه جدا قرار دهید که به اصطلاح به این محدوده DMZ می گویند و با استفاده از سیستم هایی شبیه snort شما می توانید به دقت ترافیک را زیر نظر بگیرید و این سیستم هر ترافیک مشکوک را تشخیص و آلارم می دهد.