Veja /etc/firewall/zones/ e faça referência cruzada a /usr/lib/firewalld/services/ .
FedoraWorkstation.xml
Unsolicited incoming network packets are rejected from port 1 to 1024, except for select network services. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.
<service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only -->
<service name="ssh"/> <!-- tcp 22 -->
<service name="samba-client"/> <!-- udp 137,138, plus nf_conntrack_netbios_ns -->
<port protocol="udp" port="1025-65535"/>
<port protocol="tcp" port="1025-65535"/>
FedoraServer.xml
For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.
<service name="ssh"/> <!-- tcp 22 -->
<service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only -->
<service name="cockpit"/> <!-- tcp 9090 -->
("cockpit" é implementado como um servidor web rodando na porta TCP 9090. Ele usa autenticação de HTTPS e senha. Há também uma opção alternativa para usar a autenticação de chave SSH e SSH).
Permite o MDNS / avahi?
Isso é um pouco confuso quando você olha para o pacote. O pacote inclui um patch para ativar o MDNS por padrão, mas não toca em nenhum desses arquivos. No entanto, o MDNS será permitido no Fedora Workstation. A porta padrão do MDNS é 5353, que está nas "portas altas" que o Fedora Workstation permite (1025-65535).
A divisão geral foi implementada no Fedora 21.
Subject: [PATCH] Make MDNS work in all but the most restrictive zones
MDNS is a discovery protocol, and much like DNS or DHCP should
be available for the network to function as expected.Avahi (the main MDNS) implementation has taken steps to make sure
no private information is published by default.See: https://fedoraproject.org/wiki/Desktop/Whiteboards/AvahiDefault