Comment configurer firewalld pour les règles spécifiques à la source?

J'ai un server dans un datacenter qui sert de maître IPA et de server VPN. Pour simplifier, supposons que je dois activer le service «ipsec» pour VPN et le service «kerberos» pour IPA.

Je voudrais: 1) Autoriser le trafic de n'importe où pour accéder aux ports ipsec. 2) Autoriser uniquement le trafic de l'espace IP privé à accéder aux ports kerberos.

Cela semble assez simple; ajoutez un espace IP source à la zone "travail", ouvrez "kerberos" dans la zone "travail", ouvrez "ipsec" dans la zone "publique". Cependant, mon interface "eth0" est uniquement attachée à la zone "publique". Il semble qu'une interface soit uniquement destinée à s'appliquer à une seule zone.

J'ai donc deux questions. Tout d'abord, c'est ce que j'aimerais faire raisonnablement? Deuxièmement, quel est le bon model d'utilisation pour atteindre mes objectives avec firewalld? À titre d'exemple, je sais que je pourrais accomplir mes objectives avec des règles riches, mais cela ressemble à quelque chose qui devrait être fait en utilisant des zones.