通过将入站网络数据包从一个端口或地址重定向到另一个替代端口或地址，可以实现 IP 伪装为外部区域。作为 root 用户，输入以下命令：

~]# firewall-cmd --zone=external --add-masquerade

要将数据包转发到本地端口，即同一系统上的端口，请作为 root 用户输入以下命令：

~]# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=3753

在这个例子中，端口 22 的数据包现在被转发到指定的原始目标端口 3753。port 选项可以是单个端口或一个端口范围，并与协议结合使用。若指定协议，则必须是 tcp 或 udp。被转发的本地新端口或端口范围通过 toport 选项指定。要使此设置永久生效，请添加 --permanent 选项并重新加载防火墙。

若要将数据包转发到另一个 IPv4 地址，通常是内部地址，而不改变目标端口，作为 root 用户请输入以下命令：

~]# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toaddr=192.0.2.55

在这个例子中，端口 22 的数据包现在被转发到指定的地址，保持目标端口不变。原始目标端口由 port 指定。port 选项可以是单个端口或一个端口范围，并与协议结合使用。若指定协议，则必须是 tcp 或 udp。被转发的目标端口或端口范围通过 toport 选项指定。要使此设置永久生效，请添加 --permanent 选项并重新加载防火墙。

若要将数据包转发到另一个 IPv4 地址，通常是内部地址，并且改变目标端口，请作为 root 用户输入以下命令：

~]# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=2055:toaddr=192.0.2.55

在这个例子中，端口 22 的数据包现在被转发到指定地址的 2055 端口。原始目标端口由 port 指定。port 选项可以是单个端口或一个端口范围，并与协议结合使用。若指定协议，则必须是 tcp 或 udp。被转发的目标端口或端口范围通过 toport 选项指定。要使此设置永久生效，请添加 --permanent 选项并重新加载防火墙。