Firewalld
CentOS7からiptablesからfirewalldに変更になりました。とは言っても裏で動いているのがiptablesなので機能はほぼ同じです。動的にファイアウォールのポリシー変更が可能となりました。また、「ゾーン」と呼ばれる新しい概念が導入されました。これでNIC毎にファイアウォールを設置し、受信ポートを設定する事が体系化された感じです。
iptablesではREJECTパケットをログ出力させていました。firewalldでは挫折中です。
Zone(ゾーン)
複数のゾーン「block、dmz、drop、external、home、internal、public、trusted、work」が用意されていますが、IPマスカレードを利用しないのであれば、デフォルトの「public」で事が足ります。
NICに割り当てられているゾーンの確認
# firewall-cmd --get-active-zones public interfaces: eno16777984