ファイアウォールを使用したIP転送のブロック

ファイアウォールを使用したIP転送のブロック

ここで何か誤解しているかもしれませんが、を使用してパケット転送を防ぐことができると予想しましたが、チェーンではなく合計チェーンだけを処理するようfirewalldです。配信を防ぐ簡単な方法はありますか(または直接ルールを使用できますか?)INPUTOUTPUTFORWARDfirewalldiptables

簡単な場合:

Host MAIN
   Connects to PUBLIC
   Connects to NET_A (1.1.1.0/24)
   Connects to NET_B (2.2.2.0/24)

NET_BからNET_Aへの転送は許可し、PUBLICからNET_Aへの転送は許可したくありません。つまり。論理的には次のようになります。

source=2.2.2.0/24 dest=1.1.1.0/24 ALLOW
source=0.0.0.0/0 dest=1.1.1.0/24 REJECT

zonesを使用して上記のルールを定義できますが、fiewwalld結果エントリはテーブルiptablesに適用されないため、すべてのパケットが正常に転送されます。FORWARD

私は何を逃したことがありませんか?

関連情報