Actualizar readme-suse.md

readme-suse.md

@@ -203,20 +203,27 @@ el trafico basico que se debe permitir es:
 
 ```bash
 # Básico Kubernetes
+# Asocia la interfaz de red interna del clúster a la zona trusted (típicamente br-admin)
 sudo firewall-cmd --zone=trusted --change-interface=br-admin --permanent
-sudo firewall-cmd --add-port=6443/tcp --permanent
-sudo firewall-cmd --add-port=10250/tcp --permanent
-sudo firewall-cmd --add-port=30000-32767/tcp --permanent
 
-# Flannel
-sudo firewall-cmd --add-port=8472/udp --permanent
+# Abre solo en zona trusted los puertos necesarios para el clúster:
+sudo firewall-cmd --zone=trusted --add-port=6443/tcp --permanent    # API Server
+sudo firewall-cmd --zone=trusted --add-port=10250/tcp --permanent   # Kubelet API
+sudo firewall-cmd --zone=trusted --add-port=2379/tcp --permanent    # etcd (client)
+sudo firewall-cmd --zone=trusted --add-port=2380/tcp --permanent    # etcd (peer)
+sudo firewall-cmd --zone=trusted --add-port=8472/udp --permanent    # Flannel VXLAN
 
-# Traefik y MetalLB (suponiendo que expondrás HTTP y HTTPS)
-sudo firewall-cmd --add-port=80/tcp --permanent
-sudo firewall-cmd --add-port=443/tcp --permanent
+# Si vas a exponer servicios (Traefik, MetalLB), abre HTTP/HTTPS solo si lo necesitas en todos los nodos
+# (mejor hacerlo en los nodos donde se expone tráfico externo, no en todos)
+sudo firewall-cmd --zone=trusted --add-port=80/tcp --permanent
+sudo firewall-cmd --zone=trusted --add-port=443/tcp --permanent
 
-# Aplica los cambios
+# (Opcional) Si usas NodePort, abre el rango solo si usas ese tipo de servicio:
+sudo firewall-cmd --zone=trusted --add-port=30000-32767/tcp --permanent
+
+# Recarga las reglas
 sudo firewall-cmd --reload
+
 ```
 
 ---