Блокировка firewalld на основе IP, но только для одного порта

Я хочу, чтобы firewalld разрешал HTTP и SSH-соединения с любого хоста, но включал в белый список доступ к ~6 IP-адресам для одного конкретного порта (memcached на TCP-порте 1270). В сети, кажется, есть два подхода к этому: один - полностью ввести новую зону, а другой - добавить расширенное правило. Я не понимаю, какой путь лучше.

Кроме того, возможно ли добавить несколько IP-адресов (не диапазон, то есть несколько адресов /32), используя одно правило rich? Если да, то как ты это делаешь? Единственные примеры, которые я могу найти, имеют один IP-адрес, указанный в "адресе источника"