Конкретный ответ - создать расширенное правило (я полагаю, и прямое правило будет работать), так как они оба оцениваются перед источниками и интерфейсами.
firewall-cmd --permanent --zone=trusted --add-rich-rule='rule family=ipv4 source address=172.26.143.3 accept'
Почему это не работает, потому что определения источника во внутренней и доверенной зонах перекрываются. Это слабость / раздражение / ошибка (?) Firewalld, где наложение источника не допускается. Это работает, но это зависит от порядка, в котором firewalld оценивает зоны, когда происходит такое перекрытие. Я не смотрел на код, но в некоторых объяснениях говорится, что при наложении зоны оцениваются в алфавитном порядке, а в других местах это основано на порядке, в котором были определены правила. В любом случае, в вашем примере внутренняя зона собирает трафик SSH и отбрасывает его.