Firewalld 配置端口转发、SNAT、DNAT

news/2026/1/24 19:39:48/文章来源:https://www.cnblogs.com/venngair/p/19527379

Firewalld通过富规则（rich rules）和直接规则（direct rules）支持端口转发和NAT。 下面详细说明各种配置方法：

端口转发（Port Forwarding）

方法1：使用富规则（推荐）

基础端口转发（本地转发）

# 将外部访问 8080 端口的流量转发到本机 80 端口
firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80# 永久生效
firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80 --permanent# 转发到其他主机的端口
firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=192.168.1.100# 转发UDP端口
firewall-cmd --add-forward-port=port=53:proto=udp:toport=53:toaddr=192.168.1.53

查看和管理端口转发规则

# 查看所有转发规则
firewall-cmd --list-forward-ports# 查看特定区域的转发规则
firewall-cmd --zone=public --list-forward-ports# 删除转发规则
firewall-cmd --remove-forward-port=port=8080:proto=tcp:toport=80
firewall-cmd --remove-forward-port=port=8080:proto=tcp:toport=80:toaddr=192.168.1.100

方法2：使用富规则的完整语法

# 更详细的转发规则
firewall-cmd --add-rich-rule='rule family="ipv4"source address="192.168.1.0/24"forward-port port="8080" protocol="tcp" to-port="80" to-addr="192.168.1.100"
'# 带日志记录的转发
firewall-cmd --add-rich-rule='rule family="ipv4"forward-port port="2222" protocol="tcp" to-port="22" to-addr="10.0.0.100"log prefix="SSH_FORWARD: " level="info"
'

SNAT配置（源地址转换）

SNAT：本地网络访问互联网

# 启用区域的IP伪装（masquerade） - 这是SNAT的简化版
firewall-cmd --zone=external --add-masquerade# 永久生效
firewall-cmd --zone=external --add-masquerade --permanent# 查看是否启用了伪装
firewall-cmd --zone=external --query-masquerade# 禁用伪装
firewall-cmd --zone=external --remove-masquerade

自定义SNAT规则

# 方法1：使用富规则
firewall-cmd --add-rich-rule='rule family="ipv4"source address="192.168.1.0/24"masquerade
'# 方法2：使用直接规则（更灵活）
# 将192.168.1.0/24的源IP转换为公网IP 203.0.113.100
firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 \-s 192.168.1.0/24 -o eth0 -j SNAT --to-source 203.0.113.100# 查看直接规则
firewall-cmd --direct --get-all-rules

DNAT配置（目的地址转换）

DNAT：将外部访问转发到内部服务器

# 方法1：使用端口转发（会自动设置DNAT）
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.100# 方法2：使用直接规则
# 将访问 203.0.113.100:80 的流量 DNAT 到 192.168.1.100:80
firewall-cmd --direct --add-rule ipv4 nat PREROUTING 0 \-d 203.0.113.100 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80# 如果是动态IP，使用MASQUERADE自动获取出口IP
firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 \-s 192.168.1.0/24 -o eth0 -j MASQUERADE

完整配置示例

示例1：家庭网关路由器

# 1. 配置接口区域
firewall-cmd --zone=external --add-interface=eth0    # WAN口
firewall-cmd --zone=internal --add-interface=eth1    # LAN口# 2. 启用IP伪装（SNAT）
firewall-cmd --zone=external --add-masquerade# 3. 设置端口转发（DNAT）
# 将外网SSH访问转发到内网服务器
firewall-cmd --add-forward-port=port=2222:proto=tcp:toport=22:toaddr=192.168.1.100# 将外网Web访问转发到内网Web服务器
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=80:toaddr=192.168.1.200
firewall-cmd --add-forward-port=port=443:proto=tcp:toport=443:toaddr=192.168.1.200# 4. 允许内网访问外网
firewall-cmd --zone=internal --add-service=http
firewall-cmd --zone=internal --add-service=https# 5. 保存配置
firewall-cmd --runtime-to-permanent

示例2：Web服务器负载均衡器

# 1. 启用伪装
firewall-cmd --zone=public --add-masquerade# 2. 负载均衡：将80端口流量轮询转发到后端服务器
firewall-cmd --direct --add-rule ipv4 nat PREROUTING 0 \-p tcp --dport 80 -m statistic --mode nth --every 2 --packet 0 \-j DNAT --to-destination 192.168.1.101:80firewall-cmd --direct --add-rule ipv4 nat PREROUTING 1 \-p tcp --dport 80 \-j DNAT --to-destination 192.168.1.102:80# 3. 健康检查流量放行
firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 \-s 192.168.1.0/24 -d 192.168.1.101 -p tcp --dport 80 -j ACCEPT

示例3：开发环境端口转发

# 将本地开发服务器暴露给局域网
# 1. 启用伪装（如果需要）
firewall-cmd --zone=public --add-masquerade# 2. 转发外部3000端口到本机3000端口
firewall-cmd --add-forward-port=port=3000:proto=tcp:toport=3000# 3. 转发多个开发服务
firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=8080
firewall-cmd --add-forward-port=port=9000:proto=tcp:toport=9000# 4. 限制只允许内网访问
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.0.0/16"forward-port port="3000" protocol="tcp" to-port="3000"log prefix="DEV_FORWARD: "
'

高级NAT配置

一对一NAT（静态NAT）

# 将整个外部IP映射到内部IP
firewall-cmd --direct --add-rule ipv4 nat PREROUTING 0 \-d 203.0.113.100 -j DNAT --to-destination 192.168.1.100firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 \-s 192.168.1.100 -j SNAT --to-source 203.0.113.100

多端口范围转发

# 转发端口范围
for port in {5000..5010}; dofirewall-cmd --add-forward-port=port=$port:proto=tcp:toport=$port:toaddr=192.168.1.100
done# 或者使用直接规则
firewall-cmd --direct --add-rule ipv4 nat PREROUTING 0 \-p tcp -m multiport --dports 5000:5010 \-j DNAT --to-destination 192.168.1.100

条件转发（基于源IP）

# 只允许特定IP访问转发服务
firewall-cmd --add-rich-rule='rule family="ipv4"source address="10.0.0.0/8"forward-port port="3389" protocol="tcp" to-port="3389" to-addr="192.168.1.150"
'# 拒绝其他IP访问
firewall-cmd --add-rich-rule='rule family="ipv4"source address="0.0.0.0/0"port port="3389" protocol="tcp"reject
'

持久化配置

方法1：使用永久标志

# 添加规则时直接永久保存
firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80 --permanent# 或者先添加运行时规则，再永久化
firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80
firewall-cmd --runtime-to-permanent

方法2：直接编辑XML配置文件

# 端口转发规则存储在区域配置中
sudo nano /etc/firewalld/zones/public.xml# 添加如下内容：
<forward-port port="8080" protocol="tcp" to-port="80"/># 重载配置
firewall-cmd --reload

查看和验证配置

查看所有NAT相关配置

# 查看转发端口
firewall-cmd --list-forward-ports# 查看富规则
firewall-cmd --list-rich-rules | grep forward-port# 查看直接规则
firewall-cmd --direct --get-all-rules# 查看伪装状态
firewall-cmd --zone=public --query-masquerade# 查看完整的区域配置
firewall-cmd --zone=public --list-all

验证规则是否生效

# 1. 查看iptables规则（Firewalld底层生成）
sudo iptables -t nat -L -n -v# 2. 检查具体的NAT规则
sudo iptables -t nat -L PREROUTING -n -v
sudo iptables -t nat -L POSTROUTING -n -v# 3. 使用tcpdump监控流量
sudo tcpdump -i eth0 -n port 8080# 4. 测试端口转发
# 从另一台机器测试
telnet 网关IP 8080

故障排除

常见问题解决

# 1. 端口转发不工作
# 检查是否启用了伪装
firewall-cmd --query-masquerade# 2. 规则没保存
# 检查运行时和永久配置
firewall-cmd --list-forward-ports
firewall-cmd --list-forward-ports --permanent# 3. 直接规则丢失
# 直接规则需要单独持久化
firewall-cmd --direct --add-rule ipv4 nat PREROUTING 0 ... --permanent# 4. 冲突规则
# 检查是否有重复或冲突规则
iptables -t nat -L -n --line-numbers

调试命令

# 跟踪数据包路径
sudo iptables -t nat -L -n -v --line-numbers# 清除并重新加载
sudo firewall-cmd --reload# 临时关闭防火墙测试
sudo firewall-cmd --panic-on   # 紧急模式（拒绝所有）
sudo firewall-cmd --panic-off  # 恢复正常# 查看日志
sudo journalctl -u firewalld -f
sudo tail -f /var/log/messages | grep firewalld

性能优化建议

# 1. 减少直接规则数量，尽量使用富规则
# 2. 合并端口范围，减少规则数量
# 3. 使用连接跟踪优化
sysctl -w net.netfilter.nf_conntrack_max=262144# 4. 对于大量转发，考虑使用ipset
firewall-cmd --new-ipset=trusted_ips --type=hash:ip --permanent
firewall-cmd --ipset=trusted_ips --add-entry=192.168.1.100 --permanent
firewall-cmd --add-rich-rule='rule source ipset=trusted_ips forward-port port="80" to-port="8080"'

与iptables对比

功能	Firewalld方式	iptables方式
简单端口转发	`--add-forward-port`	`-A PREROUTING -j REDIRECT`
SNAT	`--add-masquerade`	`-A POSTROUTING -j SNAT`
DNAT	`--add-forward-port toaddr=`	`-A PREROUTING -j DNAT`
条件转发	富规则	多个规则组合
持久化	自动/手动永久化	iptables-save/restore

总结

Firewalld配置端口转发和NAT的核心方法：

端口转发：使用 --add-forward-port
SNAT：使用 --add-masquerade 或直接规则
DNAT：使用 --add-forward-port 带 toaddr 或直接规则
复杂规则：使用富规则或直接规则

推荐策略：

简单需求：使用Firewalld原生命令
复杂场景：使用富规则
特殊需求：使用直接规则（保持iptables语法兼容）
生产环境：测试后永久保存，监控日志

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/1210943.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！

探索AI原生应用领域AI工作流的新趋势

探索AI原生应用领域AI工作流的新趋势引言：从“AI+应用”到“AI原生应用”的范式转移 2023年以来，AI原生应用（AI-Native Application）成为科技行业最热门的关键词之一。从Notion AI的智能笔记、GitHub Copilot X的全生命周期开发辅助，到Perplexity的实时知识问答，这些应…