A resposta específica é criar uma regra rica (uma regra direta também funcionaria, suponho), pois ambas são avaliadas antes de fontes e interfaces.
firewall-cmd --permanent --zone=trusted --add-rich-rule='rule family=ipv4 source address=172.26.143.3 accept'
Por que isso não funciona porque as definições de origem nas zonas internas e confiáveis se sobrepõem. Esta é uma fraqueza / aborrecimento / bug (?) Do firewalld onde as sobreposições de fontes não são realmente permitidas. Ele funciona, mas depende da ordem. O firewalld avalia as zonas quando há uma sobreposição como essa. Eu não olhei para o código, mas algumas explicações dizem que quando há uma sobreposição, as zonas são avaliadas alfabeticamente e em outro lugar, é baseada na ordem em que as regras foram definidas. De qualquer maneira, no seu exemplo, a zona interna está captando o tráfego SSH e soltando-o.