尝试使用防火墙关闭两个端口，其余端口保持打开

我记得背后的理念firewalld是关闭所有端口，只打开您需要的端口。所以您尝试做的只是相反的事情。因此，像这样的命令--add-port将添加指定为打开的端口。
例如，添加端口 80 只会添加另一条ACCEPT规则，iptables但由于区域的目标trusted已经ACCEPT存在，因此这条规则毫无意义。

$ firewall-cmd --zone=trusted --add-port=80/tcp

$ iptables -L -n | grep 80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 ctstate NEW

如果您使用 删除端口--remove-port，也会是一样的，如果未配置相应的端口，则会给出提示。

$ firewall-cmd --zone=trusted --remove-port 80/tcp
success
$ firewall-cmd --zone=trusted --remove-port 80/tcp
Warning: NOT_ENABLED: '80:tcp' not in 'trusted'
success

firewalld还提供了rich-rules可用于您想要实现的目标的功能。

以下命令将关闭端口80/TCP。

firewall-cmd --zone=trusted --add-rich-rule='rule family="ipv4" port port="80" protocol="tcp" reject'

如果您想允许单个 IP 地址连接到该端口，您可以添加source。

firewall-cmd --zone=trusted --add-rich-rule='rule family="ipv4" source NOT address="192.168.122.1" port port="80" protocol="tcp" reject'firewall-cmd --zone=trusted --add-rich-rule='rule family="ipv4" source NOT address="192.168.122.1" port port="80" protocol="tcp" reject'

该source参数还接受 CIDR 表示法的子网。

firewall-cmd --zone=trusted --add-rich-rule='rule family="ipv4" source NOT address="192.168.122.1" port port="80" protocol="tcp" reject'firewall-cmd --zone=trusted --add-rich-rule='rule family="ipv4" source NOT address="192.168.122.0/24" port port="80" protocol="tcp" reject'