Firewalldの豊富なルール、直接またはポリシーアプローチを使用して、このnftablesコマンドをどのように表現しますか?

Firewalldの豊富なルール、直接またはポリシーアプローチを使用して、このnftablesコマンドをどのように表現しますか?

インターフェイスでリッスンしているサービスにアクセスできません。ロックシックス(172.XX).リクエストは次のように行われます。 イーサネット0、ファイアウォールがFWDフィルタの配信をブロックしています。

[30772.997987] filter_FWD_external_REJECT: IN=eth0 OUT=lxc24220340d98f MAC=96:00:01:a7:b1:a7:d2:74:7f:6e:37:e3:08:00 SRC=XXX.XXX.XXX DST=172.20.4.140 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=43937 DF PROTO=TCP SPT=41302 DPT=443 WINDOW=64240 RES=0x00 SYN URGP=0

この nftables コマンドを使用すると問題がなくなります。

nft add rule inet firewalld   filter_FWD_external_allow  iifname  "eth0" tcp dport { 80, 443, 25, 587}  accept

ただし、もちろん、再起動/ファイアウォールの再読み込み時には消えます。 Firewall-cmdに似たものを追加するにはどうすればよいですか?豊富なルールと戦略を試してみましたが、テーブルのソートが不足しているかどうかはわかりませんが、拒否が発生しています。直接ルールを使用して行うことは次のとおりです。

firewall-cmd --direct   --add-rule ipv4 filter FORWARD   1 -i eth0  -p tcp  --dport  443  -j ACCEPT

これは実際にいいえ作業時にファイアウォールテーブルの拒否チェーンは、この転送チェーンに到達する前に到着するようです。ポリシーアプローチを使用してこれを行う方法を知ることはできません。仮面舞踏会を許可するだけでは十分ではありません。どのように変更しますか?filter_FWD_external_allow ファイアウォールを介して変更が持続しますか?

関連情報