Это фича.
Считается что администратор открывает доступ к сервису, а вот если сервис не описан в конфигурации , можно открыть доступ к порту. Мантейнеры не всех сервисов озаботились, чтобы в их пакетах была конфигурация для firewalld
Вот смотрите, с одной из моих виртуалок
[root@git ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eno16780032
sources:
services: bacula dhcpv6-client http https ssh
ports: 10050/tcp
protocols:
masquerade: no
forward-ports:
sourceports:
icmp-blocks:
rich rules:
Открыто несколько сервисов и отдельно еще один порт - ну не было в у меня в системе описания для сервиса zabbix-agent. Конечно, по правильному, надо было бы сделать xml с описанием сервиса и подкинуть его в firewalld , но может как то в другой раз, ага.