com firewalld eu posso fazer uma regra como esta: ( note the invert="True" )
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.100.0/24" invert="True" drop'
e eu posso especificar que para certas fontes eu preciso delas tratadas como parte de uma zona com isso:
firewall-cmd --permanent --zone=external --add-source=ipset:knowns
É possível inverter isso e dizer que qualquer ip que não esteja no ipset é tratado como parte de outra zona especificada? Eu dei uma olhada na página do manual e não consigo encontrar nenhuma indicação de que isso seja possível.