Да, на systemd. Дело в том, что эти юниты запускаются через скрипт в init.d, а сервиса для них нет просто напросто, соответственно прописывать зависимость некуда, ибо инит'ы не понимают это.
Спасибо! А потом "добавлять" необходимые порты как-то можно? Т.е. практически сделать "наоборот" - сначала блокируем весь трафик, потом разрешаем определенные порты?