Firewall-cmd - lyckas inte blocka traffiken mellan två interface

Jag börjar bli riktigt frustrerad. Har rätt bra koll men bevisligen inte all som behövs.

Jag har en linuxserver som agerar en massa saker, men framför allt FW ut mot internet.
Innanför finns två nätverk 192.168.1.0/24 och 192.168.0.0/24. Båda dessa på egna fysiska interface precis som WAN interfacet. Alla interface har en egen zon. Jag ville inte att mina två 192.168. nät skall kunna prata med varandra, alls egentligen. Men hur jag än sätter upp regler i zonerna så släpps trafiken glatt fritt mellan och jag fattar verkligen inte vad jag gör för fel.

Mitt WAN ser ut så här :
external (active)
target: default
icmp-block-inversion: no
interfaces: enp5s0
sources:
services: http https minecraft plex ssh
ports:
protocols:
masquerade: yes
forward-ports: port=25565:proto=tcp:toport=25565:toaddr=192.168.1.3
port=38628:proto=tcp:toport=38628:toaddr=192.168.0.72
source-ports:
icmp-blocks:
rich rules:

192.168.1.0/24 nätet ligger på denna zonen:
internal-ett (active)
target: default
icmp-block-inversion: no
interfaces: enp3s0
sources:
services: dhcpv6-client plex
ports:
protocols:
masquerade: yes
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family="ipv4" source address="192.168.1.0/24" destination address="192.168.0.0/24" reject

192.168.0.0/24 nätet ligger i denna zonen:
internal (active)
target: default
icmp-block-inversion: no
interfaces: enp4s0
sources:
services: dhcpv6-client dns http https mdns plex sabnzbd samba samba-client ssh unifi unifiweb
ports: 8444/tcp
protocols:
masquerade: yes
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family="ipv4" source address="192.168.0.0/24" destination address="192.168.1.0/24" reject

Jag har googlat och googlat men hittar mest allmänna beskrivningar om hur zoner osv fungerar och det hjälper mig inte vidare.
Är det någon som har någon ide vad jag skulle kunna kolla eller prova?