firewall 端口转发

(1) 开启伪装IP

# 加 permanent 参数代表reload后永久生效，不加则临时生效不用reload
firewall-cmd --add-masquerade --permanent 

(2) 配置端口转发，将到达本机的33389端口的访问转发到另一台服务器的3389端口。

# 加 permanent 参数代表reload后永久生效，不加则临时生效不用reload
firewall-cmd --add-forward-port=port=33389:proto=tcp:toaddr=172.16.20.121:toport=3389 --permanent

(3) 重新载入，使其生效

firewall-cmd --reload

(4) 删除端口转发规则

# 临时删除（执行删除命令即生效，reload后会还原）
firewall-cmd --remove-forward-port=port=33389:proto=tcp:toport=3389:toaddr=172.16.20.121
# 永久删除（执行删除命令后需reload才生效）
firewall-cmd --remove-forward-port=port=33389:proto=tcp:toport=3389:toaddr=172.16.20.121 --permanent

(5) 重新载入，使其生效

firewall-cmd --reload

如果提示 “FirewallD is not running” 则使用systemctl查看firewalld状态

# 查看防火墙状态
systemctl status firewalld
# 启动防火墙
systemctl start firewalld

参考：Linux端口转发的几种常用方法 | 《Linux就该这么学》 (linuxprobe.com)