Как я могу маскировать только определенную подсеть с помощью firewalld?

Если пакеты не проходят через устройство, которое вы обсуждаете, они не попадут в правило FORWARD .

Более того, в типичной коммутируемой сети вы все равно не увидите большинство пакетов, если они не направлены на ваш хост или не являются широковещательными.

Если вы хотите регистрировать каждый пинг , отправленный на ваш хост или с него, вам необходимо использовать эту пару правил:

iptables -I INPUT --protocol icmp --icmp-type 8 -j LOG
iptables -I OUTPUT --protocol icmp --icmp-type 8 -j LOG

Если вам тоже нужны ответы, вам понадобится вторая пара правила для ICMP типа 0. Как и раньше, я предоставил два правила: одно для ответов, возвращаемых на этот хост, и одно для ответов от этого хоста в другом месте:

iptables -I INPUT --protocol icmp --icmp-type 0 -j LOG
iptables -I OUTPUT --protocol icmp --icmp-type 0 -j LOG