Firewall的な発想としてzoneを定義するのは分かりやすいかなとは思います。でも、細かい設定が面倒とか、結局、裏でiptablesを動かしているとか何がしたのやら。
# firewall-cmd --list-all-zone
block
target: %%REJECT%%
(snip)
dmz
target: default
(snip)
drop
target: DROP
(snip)
external
target: default
(snip)
home
target: default
(snip)
internal
target: default
(snip)
public (active)
target: default
icmp-block-inversion: no
interfaces: enp0s25
(snip)
trusted
target: ACCEPT
(snip)
work
target: default
(snip)
REJECTはICMPは返す。DROPは返さない。defaultも落とすんですよね?
# iptables-save
とか
# iptables -L
で複雑にchainしているけど確認できます。l