Esse NAT, justamente como sugere o nome, foi concebido para realizar a troca do endereço IP de destino de uma conexão TCP/IP.
No exemplo a seguir, temos um servidor em uma rede com endereço privado, que não é roteável pela internet. Assim foi disponibilizado um endereço IP público que deve ser traduzido para o endereço IP privado ao passar pelo NAT.
# (Conexões da Internet acessando servidor Interno)
iptables -t nat -A PREROUTING --dst 200.200.200.10 –p tcp \
--dport 80 -j DNAT --to-destination 172.16.21.2
Nesse exemplo, verificamos dois novos parâmetros: –p, que indica o protocolo em questão (exemplos: TCP, UDP, ICMP) e –dport (destination port), que indica a porta de destino. De forma análoga, –sport (source port) serve para indicar a porta de origem.