先日の以下の記事の続き。
shobon.hatenablog.com
ドキュメントにそれっぽい事があった。
たぶん、以下の部分。
Due to implementation details of netfilter inside the kernel, if FirewallBackend=nftables is used direct rules that ACCEPT packets don't actually cause the packets to be immediately accepted by the system.
ドキュメントの上記の説明の下に4つ書いてあるのが回避策。
1.Rich Rules
リッチルールで書け、という尤もな手順。
2.Blanket Accept
zone=trusted にする、、、directルールの最後で拒否を書き忘れたらアウトな気がする。
3.Selective Accept
関連するサービスやポートを個別に許可する、、、ってdirectルールと二重で管理する事になる。