Firewalld: Как внести в белый список только два IP-адреса, а не в одной подсети

Я использую firwalld на VPS / веб-сервере.

publicЗона activeи default(и я не хочу, чтобы изменить эту ситуацию ). Как мне разрешить только эти два внешних IP-адреса для доступа к VPS (т. Е. Ко всем службам, которые я определил в publicзоне):

 IP1: 11.22.33.44/24 IP2: 55.66.77.88/24 

Это поддельные IP-адреса, и обратите внимание, что они намеренно не находятся в одной подсети .

Я думаю, что я понимаю, почему следующее не работает (он блокирует один или другой IP).

user$ sudo firewall-cmd --zone=public --permanent --add-source=11.22.33.44/24 user$ sudo firewall-cmd --zone=public --permanent --add-source=55.66.77.88/24  user$ sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="11.22.33.44/24" invert="True" drop'  user$ sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="55.66.77.88/24" invert="True" drop' user$ sudo firewall-cmd --reload 

Что мне нужно изменить, чтобы это работало (чтобы оно не блокировало ни один IP, ни другой, ни оба)?

Спасибо! :)

РЕДАКТИРОВАТЬ : я также попробовал /32немного маски для всех четырех команд выше. К сожалению, это не помогло. Все еще ищу решение.

Я думаю, что логика может звучать примерно так: if IP1 or IP2, allow it and stop processing the chain.иначе Continue processing the chain, where the very next rule would be to DROP.. Что-то вроде того.

РЕДАКТИРОВАТЬ 2 : Размещение выходных данных sudo firewall-cmd --list-all-zonesниже. Обратите внимание, что я удалил все правила, упомянутые выше, так как они не работали. Таким образом, ниже возвращается на круги своя.

user$ sudo firewall-cmd --list-all-zones block target: %%REJECT%% icmp-block-inversion: no interfaces:  sources:  services:  ports:  protocols:  masquerade: no forward-ports:  source-ports:  icmp-blocks:  rich rules:    dmz target: default icmp-block-inversion: no interfaces:  sources:  services:  ports:  protocols:  masquerade: no forward-ports:  source-ports:  icmp-blocks:  rich rules:    drop target: DROP icmp-block-inversion: no interfaces:  sources:  services:  ports:  protocols:  masquerade: no forward-ports:  source-ports:  icmp-blocks:  rich rules:    external target: default icmp-block-inversion: no interfaces:  sources:  services:  ports:  protocols:  masquerade: yes forward-ports:  source-ports:  icmp-blocks:  rich rules:    home target: default icmp-block-inversion: no interfaces:  sources:  services:  ports:  protocols:  masquerade: no forward-ports:  source-ports:  icmp-blocks:  rich rules:    internal target: default icmp-block-inversion: no interfaces:  sources:  services:  ports:  protocols:  masquerade: no forward-ports:  source-ports:  icmp-blocks:  rich rules:    public (active) target: default icmp-block-inversion: no interfaces: venet0:0 venet0 sources:  services: ssh-vps http https ports: 8080/tcp 8080/udp protocols:  masquerade: no forward-ports:  source-ports:  icmp-blocks: echo-reply echo-request timestamp-reply timestamp-request rich rules:   trusted target: ACCEPT icmp-block-inversion: no interfaces:  sources:  services:  ports:  protocols:  masquerade: no forward-ports:  source-ports:  icmp-blocks:  rich rules:    work target: default icmp-block-inversion: no interfaces:  sources:  services:  ports:  protocols:  masquerade: no forward-ports:  source-ports:  icmp-blocks:  rich rules: