最近碰到一个问题，某客户需要从我们的阿里云服务器上下载文件，我们阿里云服务器上提供下载的服务是ftp，端口是默认的21端口，但是客户那边死活下不下来。测试一通后发现，客户那边似乎是禁止了对外网21端口的访问，但是可以访问外网的其他端口。于是想到了用端口转发的方式，尝试在云端做11121端口转发到21端口，该客户访问云端的11121端口下载文件，不影响正在使用ftp服务的其他人。

其实Linux系统的iptables和firewalld防火墙都具备端口转发的功能，但是由于阿里云本来就有安全组的配置，我们服务器上的防火墙就没有启动了。

通过阿里云控制台，把11121端口加到安全组中，这一步的作用是允许访问云端的11121端口。没有这一步的话，其他机器是连接不到云端的11121端口的。只配11121是因为其他正在用的端口是以前就已经配置过了。 控制台–>实例–>安全组，然后选择具体的安全组进去， 进去之后手动添加–>添加端口–>添加源–>保存 这样，阿里云的安全组就配置完成了。

云服务器操作系统是CentOS7，自带的防火墙服务是firewalld，直接用

命令就可以了，当然，得有超级用户权限，用root用户操作。 使用 systemctl status firewalld 查看防火墙状态，上图中绿字active (running)就是防火墙正在运行了。

我这里防火墙打开的时候默认ssh服务是允许的，还需要将云服务器对外提供服务的端口都开放，我们对外开放的端口只有21、80、8080和8090。使用命令:

依次将用到的端口开放，–permanent的作用是使策略永久生效，没有此参数重启后失效。

以下命令将11121端口的流量转到21端口：

如下图：

以下命令重新加载防火墙配置：

当然也可以systemctl restart firewall，直接重启防火墙。 至此全部配置完成，以下命令

查看状态： 参考文章： https://blog.csdn.net/GMingZhou/article/details/78090963 https://wangchujiang.com/linux-command/c/firewall-cmd.html