Новая подсистема работы с iptables в CentOS 7 заставляет менять привычные схемы работы

Задача: заблокировать IP на wan интерфейсе

Решение:

1.  Смотрим активные зоны:

   # firewall-cmd --get-active-zones

2. Добавим правило блокировки для зоны публичного интерфейса (по умолчанию — public):

   # firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="AA.BB.CC.DD" drop'

3. Для сохранения правила после перезагрузки firewalld:

   # firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="AA.BB.CC.DD" drop'

4. Для удаления, повторите 2 и 3, заменив директиву —add-rich-rule на —remove-rich-rule: 

   # firewall-cmd --zone=public --remove-rich-rule='rule family="ipv4" source address="AA.BB.CC.DD" drop'
   # firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="AA.BB.CC.DD" drop'

Более подробно читать ман:

# man firewall-cmd