исключить подсеть из зоны firewalld?

У нас сложившаяся исторически сложившаяся довольно сложная структура сети, вынуждающая меня строить сложные и трудноуправляемые зоны межсетевого экрана. Мне бы очень помогло, если бы был способ исключить одну подсеть из зоны, но я не нашел способа это сделать.

Я использую firewalld в RedHat Enterprise Linux 7/8/9, поэтому любое решение должно работать с firewalld 0.6.3 и выше.

Пример:

Предположим, что имеются две сетевые зоны. У одного рабочие станции, у другого серверы где-то посередине рабочих станций. Да, это не логическое разбиение на подсети, но у меня нет такой роскоши, как реализация с нуля.

      172.16.0.0/16: zone workstations, except for 172.16.12.0/24.
172.16.11.0/24: zone servers

Единственный известный мне способ сделать это очень сложен и подвержен ошибкам:

      172.16.0.0/21: zone workstation
172.16.8.0/23: zone workstation
172.16.10.0/24: zone workstation
172.16.12.0/22: zone workstation
172.16.16.0/20: zone workstation
172.16.32.0/19: zone workstation
172.16.64.0/18: zone workstation
172.16.128.0/15: zone workstation
172.16.11.0/24: zone servers

(Надеюсь, я понял это правильно!) Наша реальная сеть на самом деле более сложна и содержит около 10 различных зон, некоторые из которых вложены друг в друга. Поэтому я ищу лучший способ управления зонами брандмауэра.