Você ainda precisa remover as portas que está encaminhando, no entanto, encaminhar uma porta, não a fecha. Experimente este código:
sudo firewall-cmd --permanent --remove-port=22/tcp
firewall-cmd --reload
Quando você chamar sudo firewall-cmd --list-all
, ele não mostrará mais a porta que você removeu nas portas listadas e o encaminhamento continuará funcionando. Infelizmente, a porta ainda será mostrada como aberta para nmap
. Eu não acho que é possível evitar isso, sem remover o encaminhamento de porta. Se eu encontrar uma solução, atualizarei minha resposta.