Блокировка ВСЕГО исходящего трафика Использование firewalld для выделенных подсетей сети?

У меня есть несколько серверов RHEL7/CentOS7, на которых мне нужно заблокировать весь ВЫХОДНОЙ трафик на выделенные машины или выделенные сетевые подсети, например, CIDR 168.192.10.0/24.

На данный момент я попробовал с firewall-cmd но не повезло. Большинство постов, которые я видел, использовали iptables но я бы предпочел решение на основе firewalld,

Я уже пытался основать свое решение на этих двух темах Блокировать исходящие соединения... и Блокировать исходящие соединения на Centos 7 с помощью firewalld, но каким-то образом мои правила должны быть неправильными, поскольку я все еще могу открыть http-соединение с сервером.

Текущий firewalldправила (правила не определены)

public (active)
    target: default
    icmp-block-inversion: no
    interfaces: eth0
    sources:
    services: dhcpv6-client http https ssh
    ports:
    protocols:
    masquerade: no
    forward-ports:
    sourceports:
    icmp-blocks:
    rich rules:

Предположим, что исходный IP-адрес сервера равен 168.192.18.56. Далее, правила, которые я пытался определить (также с --permanent

firewall-cmd --direct --add-rule ipv4 filter OUTPUT 0 -d 168.192.10.0/24 -j REJECT 
firewall-cmd  --zone=public --add-rich-rule='rule family="ipv4" source address="168.192.18.56" destination address=168.192.10.0/24 reject'

Я также попробовал с действием DROP. Действующие правила

public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources:
  services: dhcpv6-client http https ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  sourceports:
  icmp-blocks:
  rich rules:
    rule family="ipv4" destination address="192.168.10.0/24" log prefix="dropped" level="debug" limit value="20/m" drop

Теперь не уверен, если я должен перезагрузить firewalld? В этом случае я бы сделал правила постоянными.

Мое недоразумение теперь

• Предположим, что 192.168.10.30 веб-сервер работает.
• Я могу пинг например 192.168.10.30
• Я также могу открыть HTTP-соединение wget 192.168.10.30 и получить index.html назад
• Я также могу пропинговать каждую машину в заблокированных подсетях, но, возможно, для этого нужно специальное правило, я думал, что блокируя весь трафик, ICMP также будет заблокирован

Я был бы признателен, если бы знал, что я делаю неправильно.