Por que o tráfego está correspondendo à zona pública em vez da zona desejada?

Tentando se auto-treinar em firewalld , configurei o apache e configurei as zonas da seguinte forma:

[root@localhost ~]# firewall-cmd --get-active-zones
work
  sources: 192.168.122.1
public
  interfaces: ens3
[root@localhost ~]# firewall-cmd --zone=work --list-all
work
  interfaces:
  sources: 192.168.122.1
  services: dhcpv6-client ipp-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

[root@localhost ~]# firewall-cmd --zone=public --list-all
public (default, active)
  interfaces: ens3
  sources:
  services: dhcpv6-client http https ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

Meu resultado esperado é que o tráfego do hipervisor corresponderia à zona de "trabalho" e que o http não é permitido para essa zona para ser descartado. No entanto, ainda posso acessar a página da Web a partir de lá:

Seiqueotráfegoestácorrespondendoàzona"pública" porque a remoção dos serviços "http" e "https" faz com que o tráfego da web pare e os adicione de volta à zona pública restaura o serviço, fazendo as mesmas modificações no "trabalho" zona não faz nada.

Tenho certeza de que é um fracasso da minha compreensão, mas não consigo identificá-lo.

Atualizar

Ainda com esse problema. Se eu remover a interface de public e adicioná-la a work , ela começará a funcionar, mas provavelmente porque todo o tráfego de ens3 estará indo para essa zona agora. Eu fiz um iptable -Z para zerar as contagens de pacotes e verifiquei que as cadeias associadas à zona public estão recebendo os pacotes.

Curiosamente, se eu fizer o --add-source para adicionar o tráfego ao drop ou block zonas, ele funcionará como eu esperaria (o tráfego é descartado / rejeitado, independentemente de quais serviços estão configurados no public zone).

Aqui está a saída do netstat no servidor que está executando o firewall:

[root@localhost ~]# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask        Flags   MSS Window   irtt Iface
0.0.0.0         192.168.122.1   0.0.0.0        UG        0 0           0 ens3
192.168.122.0   0.0.0.0         255.255.255.0  U         0 0           0 ens3