Uma zona firewalld pode ser especificada por interface ou por endereço source , mas você deseja filtrar por endereço destino . Você precisará de uma regra rica para lidar com essa situação específica.
Uma regra tão rica pode parecer:
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" destination address="198.51.100.237" forward-port port="80" protocol="tcp" to-port="8080"'
Consulte a página firewalld.richlanguage(5)
man para obter documentação sobre regras avançadas.
Quando sua regra avançada estiver funcionando, lembre-se de torná-la permanente com
firewall-cmd --runtime-to-permanent
ou adicionando --permanent
à invocação anterior.