Na inspeção da saída completa iptables -n --list
, IN_public_deny
é (eventualmente) chamado da cadeia INPUT
, que não tem nada a ver com pacotes enviados do sistema para o host não cancelado; esses pacotes são roteados pela cadeia OUTPUT
(ou possivelmente FORWARD
se o firewall for um roteador ou uma ponte entre a origem e o destino). firewalld.richlanguage(5)
parece não oferecer nenhum meio de especificar que a regra deve ir para a cadeia OUTPUT
(ou FORWARD
), portanto, a opção "último recurso" de uma regra direta parece ser uma solução.
firewall-cmd --direct --add-rule ipv4 filter OUTPUT_direct 0 -p icmp -d 10.52.208.220 -j REJECT --reject-with icmp-host-prohibited
(Embora geralmente eu prefira DROP (e possivelmente LOG com limitação de taxa) ao invés de enviar rejeições ICMP, como se o host-a-ser-bloqueado estivesse enlouquecendo, lançar pacotes de resposta ICMP para ele de volta em uma rede sobrecarregada fazer as coisas de mal a pior ...)