NAT 在 CentOS 7（Firewalld）上不起作用

我没有在您的配置中看到为外部接口设置伪装选项的位置。

firewall-cmd --zone=external --add-masquerade --permanent

当我开始玩臭名昭著的firewalld

我认为您需要在内部区域而不是外部区域设置伪装。

诚然，我还没有弄清楚防火墙，但在运行 IPTables 的 CentOS 7.3 中，我能够将对 8806 的外部请求 NAT 到内部 IP 上的端口 3306 以进行 mysql 连接，配置如下：

[root@firewall-dnat ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.21 on Tue Mar 7 20:06:21 2017
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [343:41670]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -o eth1 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 8806 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Tue Mar 7 20:06:21 2017
# Generated by iptables-save v1.4.21 on Tue Mar 7 20:06:21 2017
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [1:76]
:POSTROUTING ACCEPT [1:76]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8806 -j DNAT --to-destination 10.208.135.106:3306
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Tue Mar 7 20:06:21 2017

注意现在在 eth1（我的内部接口）的出站流量上设置了伪装。

以下是 3 台服务器实验室的样子：

[客户端] -> eth0（公共）-> mysql 端口 8806 -> eth0（公共）[防火墙-dnat] eth1（内部）-> mysqlport 3306 -> eth1（内部）db1（mariadb）

希望有所帮助。