firewalld是Linux系統(tǒng)下的防火墻，基本上會默認(rèn)安裝在centos7版本系統(tǒng)，而centos7以下版本則使用的是iptables（iptables轉(zhuǎn)發(fā)設(shè)置），本文主要介紹下firewalld的簡單使用，及利用firewalld的流量轉(zhuǎn)發(fā)功能開啟TCP/UDP中轉(zhuǎn)加速。

安裝firewall防火墻

首先裝一下firewalld，默認(rèn)centos7系統(tǒng)會自帶，不過有的機(jī)器并沒有：

yum install firewalld -y

常用命令

systemctl start firewalld ##開啟防火墻

systemctl stop firewalld ##關(guān)閉防火墻

firewall-cmd --reload ##重啟防火墻

systemctl status firewalld ##查看防火墻狀態(tài)

systemctl enable firewalld ##設(shè)置開啟啟動(dòng)

systemctl disable firewalld ##禁用開機(jī)啟動(dòng)

firewall-cmd --list-ports ##查看開放的端口

firewall-cmd --zone=public --add-port=8080/tcp --permanent ##開放指定端口（此處為開放8080，可替換為指定端口號），開放后需重啟防火墻生效

firewall-cmd --zone=public --remove-port=8080/tcp --permanent ##關(guān)閉指定端口（此處為關(guān)閉8080，可替換為指定端口號）

準(zhǔn)備工作

首先需要設(shè)置開啟路由轉(zhuǎn)發(fā)，執(zhí)行下列命令：

vi /etc/sysctl.conf

添加或者修改以下內(nèi)容

net.ipv4.ip_forward = 1

然后命令行執(zhí)行下列命令使其生效：

sysctl -p

最后開啟防火墻的流量偽裝功能，執(zhí)行下列命令：

firewall-cmd --zone=public --permanent --add-masquerade

至此準(zhǔn)備工作完成。

設(shè)置tcp/udp中轉(zhuǎn)

首先需要先開放端口，比如開放一個(gè)8080端口（端口替換你需要開放的端口），執(zhí)行下列命令，如已開放服務(wù)器全部端口可跳過這步：

#開啟TCP流量端口

firewall-cmd --add-port=8080/tcp --permanent

#開啟UDP流量端口

firewall-cmd --add-port=8080/udp --permanent

轉(zhuǎn)發(fā)本地端口

比如我需要要把8080端口的流量轉(zhuǎn)發(fā)到自己的8090端口（端口替換為自己需要的相應(yīng)端口），執(zhí)行下列命令即可：

#開啟TCP流量轉(zhuǎn)發(fā)

firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=8090 --permanent

#開啟UDP流量轉(zhuǎn)發(fā)

firewall-cmd --add-forward-port=port=8080:proto=udp:toport=8090 --permanent

轉(zhuǎn)發(fā)遠(yuǎn)程服務(wù)器端口

這個(gè)就是流量中轉(zhuǎn)，比如要把IP地址1.1.1.1這臺服務(wù)器的8080端口收到的流量，轉(zhuǎn)發(fā)到服務(wù)器IP地址為2.2.2.2的666端口，則在IP地址1.1.1.1這臺服務(wù)器上執(zhí)行下列命令：

#開啟TCP流量轉(zhuǎn)發(fā)

firewall-cmd --add-forward-port=port=8080:proto=tcp:toaddr=2.2.2.2:toport=666 --permanent

#開啟UDP流量轉(zhuǎn)發(fā)

firewall-cmd --add-forward-port=port=8080:proto=udp:toaddr=2.2.2.2:toport=666 --permanent

重載配置文件

設(shè)置完規(guī)則后需要重新加載配置文件生效，執(zhí)行下列命令：

firewall-cmd --reload

手動(dòng)修改配置文件

firewalld默認(rèn)的配置文件是/etc/firewalld/zones/public.xml，直接使用文本編輯修改，修改完以后也要重新加載配置文件才能生效。

海外服務(wù)器免費(fèi)測試：http://hbjsdrq.com/