使用firewall-cmd在iptables中添加永久的PREROUTING规则

我试图在RHEL 7上使用firewall-cmd在iptables（NAT）的PREROUTING链中添加一条新规则：

$ firewall-cmd --permanent --direct --add-rule ipv4 nat PREROUTING 0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8161

然后我通过$ iptables -t nat -L检查iptables：

 ... Chain PREROUTING (policy ACCEPT) target prot opt source destination PREROUTING_direct all -- anywhere anywhere PREROUTING_ZONES_SOURCE all -- anywhere anywhere PREROUTING_ZONES all -- anywhere anywhere ... Chain PREROUTING_direct (1 references) target prot opt source destination REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 8161 ... 

但是，如果我运行一个等效的iptables命令，如下所示：

• 当firewallD不运行时如何在CentOS 7上打开一个端口？
• FirewallD信任区域和阻止IP
• firewalld有443启用，但它拒绝连接
• 端口在RHEL上打开，但nmap无法find它
• 在Centos 7上使用firewalldbuild立NAT

 ... Chain PREROUTING (policy ACCEPT) target prot opt source destination PREROUTING_direct all -- anywhere anywhere PREROUTING_ZONES_SOURCE all -- anywhere anywhere PREROUTING_ZONES all -- anywhere anywhere REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 8161 ... Chain PREROUTING_direct (1 references) target prot opt source destination REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 8161 

我在Chain PREROUTING得到了这个额外的规则，即使防火墙被禁用（即禁用防火墙守护进程并运行iptables命令），这也允许预路由工作。

所以，我的问题是双重的：

• 是否有一个firewall-cmd命令完全相同的iptables命令上面？
• 这个规则是否可以通过firewall-cmd永久地添加，并且即使在防火墙守护进程被禁用之后也能保持在那里。