Firewalld na dwóch strefach

[madamus]

Witam

Potrzebuje pomocy w konfiguracji firewalld. Od razu powiem że nie mam doświadczenia. Domyślnie firewalld na routerze jest jedna strefa public do której sa przypisane dwa interfejsy. To działało jako router. Na interfejsie enp0s3 działa dhcp, mam też zrobione przekierowanie ssh do niktórych komputerów w sieci lan .

# firewall-cmd --get-active-zones
public
  interfaces: enp0s3 enp0s8
# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp0s3 enp0s8
  sources:
  services: cockpit dhcpv6-client ssh
  ports:
  protocols:
  forward: yes
  masquerade: yes
  forward-ports:
        port=2222:proto=tcp:toport=22:toaddr=192.168.10.10
  source-ports:
  icmp-blocks:
  rich rules:

Chciałem aby interfejs enp0s8 obsługiwała strefa public a enp0s3 strefa "internal".

# firewall-cmd --zone=public --change-interface=enp0s8 --permanent
The interface is under control of NetworkManager, setting zone to 'public'.
success
# firewall-cmd --zone=internal --change-interface=enp0s3 --permanent
The interface is under control of NetworkManager, setting zone to 'internal'.
success
#  firewall-cmd --zone=internal --add-forward --permanent
success
# firewall-cmd --runtime-to-permanent
success
# firewall-cmd --reload
success

# firewall-cmd --get-active-zones
internal
  interfaces: enp0s3
public
  interfaces: enp0s8

# firewall-cmd --zone=public --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp0s8
  sources:
  services: cockpit dhcpv6-client ssh
  ports:
  protocols:
  forward: yes
  masquerade: yes
  forward-ports:
        port=2222:proto=tcp:toport=22:toaddr=192.168.10.10
  source-ports:
  icmp-blocks:
  rich rules:

# firewall-cmd --zone=internal --list-all
internal (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp0s3
  sources:
  services: cockpit dhcpv6-client mdns samba-client ssh
  ports:
  protocols:
  forward: yes
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

Nie mogę sobie poradzić z skonfigrowaniem udostępnienia  internetu  w sieci LAN. Nie ida też pingi z sieci lan do np: 8.8.8.8 ani po nazwie domenowej.

# sysctl -w net.ipv4.ip_forward=1

# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
From 192.168.10.1 icmp_seq=1 Packet filtered
From 192.168.10.1 icmp_seq=2 Packet filtered

Z tego co widze to target w "internal" jest ustawiony na default. Jak zmienię  na "accept" to net i wszystko inne działa ale nie o to mi chodzi. Chciałbym rozwiązać przyczynę przy polityce "default". 

Czy moge liczyć na pomoc?

Pozdrawiam
ma  

[SeeM]

Jeżeli to nie było przez Ciebie konfigurowane od zera, to warto przejrzeć nie tylko strefy. Firewalld ma również

firewall-cmd --info-policy

które są rozciągnięte na wiele stref. Warto przejrzeć katalog firewalld w /etc oraz historię basha. Wówczas szybko znajdziesz, co tam jest skonfigurowane.