具体设置

FTP服务配置
1. 进入  Firewall--nat--outbound
2. 为你的内网添加外出规则
Interface:            WAN
Source:                A.B.C.0/24（内网网段）
Destination.Type:    any

3. 做 21 FTP服务映射
inbound rules 1:
Interface:            WAN
External address:    WAN Address
Protocol:            TCP
External port range.from:    21
NAT IP:                A.B.C.D1(FTP服务器地址)
Local port:            21
Auto Firewall rule: yes
inbound rules 2:
Interface:            LAN
External address:    WAN Address
Protocol:            TCP
External port range.from:    21
NAT IP:                A.B.C.D1(FTP服务器地址)
Local port:            21
outbound rules :
Interface:            LAN
Source:                A.B.C.0/24(内网网段)
Destination.Type:    A.B.C.D1/32(FTP服务器地址)
Policy NAT.Enable:    yes
Policy NAT.Protocol:TCP
Policy NAT.from:    21

4. 添加FTP服务被动工作模式NAT(经测试：此项可选 端口范围可以试着修改）
inbound rules 1:
Interface:            WAN
External address:    WAN Address
Protocol:            TCP
External port range.from:    65000
External port range.to:        65100
NAT IP:                A.B.C.D1(FTP服务器地址)
Local port:            65000
Auto Firewall rule: yes
inbound rules 2:
Interface:            LAN
External address:    WAN Address
Protocol:            TCP
External port range.from:    65000
External port range.to:        65100
NAT IP:                A.B.C.D1(FTP服务器地址)
Local port:            65000
outbound rules :
Interface:            LAN
Source:                A.B.C.0/24（内网网段）
Destination.Type:    A.B.C.D1/32(FTP服务器地址)
Policy NAT.Enable:    yes
Policy NAT.Protocol:TCP
Policy NAT.from:    65000
Policy NAT.to:        65100

FTP服务配置结束！

web服务配置

1. 添加WEB（80）端口映射
inbound rules 1:
Interface:            WAN
External address:    WAN Address
Protocol:            TCP
External port range.from:    80
NAT IP:                A.B.C.D2（WEB服务器地址）
Local port:            80
Load-balancing:        yes
Auto Firewall rule: yes

inbound rules 2:
Interface:            LAN
External address:    WAN Address
Protocol:            TCP
External port range.from:    80
NAT IP:                A.B.C.D2（WEB服务器地址）
Local port:            80
Load-balancing:        yes

outbound rules :
Interface:            LAN
Source:                A.B.C.0/24（内网网段）
Destination.Type:          A.B.C.D2/32（WEB服务器地址）
Policy NAT.Enable:    yes
Policy NAT.Protocol:TCP
Policy NAT.from:    80

WEB配置完成!

2、iptables -L --line-numbers 打印出filter表里所有规则，并以数字进行标示各规则

3、当添加规则时默认是使用filter这个表，filter表里有INPUT、FORWARD、OUTPUT、RH-Firewall-1-INPUT4条链

4、在filter表里，链RH-Firewall-1-INPUT是RedHat系统所特有的，当你用图形化界面配置防火墙的时候，实际是编辑这条链，当用iptables -L命令将filter表所有规则打印出来时，可以发现INPUT链的第一条规则就是RH-Firewall-1-INPUT，也就是说INPUT调用了RH-Firewall-1-INPUT，需要注意的是RH-Firewall-1-INPUT的最后一条规则是reject所有的访问，所以，假如我们在INPUT里添加(就是用-A参数)一条允许的规则，这是没有用的，因为前面已经reject了一切访问，添加规则时到INPUT里时必须用-I参数。

5、对规则的修改是马上就生效的，但没有保存，可以用service iptables save保存到默认位置/etc/sysconfig/iptables。也可以用iptables-save > /tmp/iptables.new 将防火墙规则保存到/tmp或者保存到其他地方，然后用iptables-restore < /tmp/iptables.new加载/tmp下的防火墙规则文件iptables.new