从一个端口转发的入站网络数据包的替代端口或地址，第一启用IP地址伪装为一个区域，例如外部，通过输入以下命令作为根：

~]# firewall-cmd --zone=external --add-masquerade

转发数据包到本地端口，也就是在同一个系统上的端口，输入下面的命令，作为根：

~]# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=3753

在这个例子中，用于端口22的数据包被转发现在到原始目的地端口与指定的端口3753. port选项。该选项可以是端口或端口范围，以协议在一起。的协议，如果指定，则必须是中的任一个tcp或udp。新的本地端口，该端口或多个端口的范围，其流量被转发到，与指定的toport选项。为了使此设置永久，添加--permanent选项，并重新加载防火墙。

转发数据包到另一个IPv4地址，通常是一个内部地址，在不改变目标端口，输入以下命令作为根：

~]# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toaddr=192.0.2.55

在这个例子中，用于端口22的数据包被转发现在到相同的端口处具有给定的地址toaddr。原来的目标端口与指定port。该选项可以是端口或端口范围，以协议在一起。的协议，如果指定，则必须是中的任一个tcp或udp。新的目的地端口，该端口或端口范围到的通信被转发到，与指定的toport。为了使此设置永久，添加--permanent选项，并重新加载防火墙。

在另一个转发数据包到另一个端口IPv4地址，通常是一个内部地址，输入以下命令作为根：

~]# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=2055:toaddr=192.0.2.55

在这个例子中，用于端口22的报文处具有给定的地址现在被转发到端口2055 toaddr。原来的目标端口与指定port。该选项可以是端口或端口范围，以协议在一起。的协议，如果指定，则必须是中的任一个tcp或udp。新的目的地端口，该端口或端口范围到的通信被转发到，与指定的toport。为了使此设置永久，添加--permanent选项，并重新加载防火墙。