Por que o firewall-cmd não pode listar as portas ativas no meu pc local?

É possível que essas regras sejam definidas com base no serviço e não na porta diretamente. Execute sudo firewall-cmd --list-all e verifique se você tem os serviços listados permitidos na zona correta. Você pode ver no meu exemplo que ssh , dhcpv6-client são permitidos, o que não mostra as portas reais.

# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens192
  sources: 
  services: ssh dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

Se você quiser ver as portas do ssh, pode ver a regra desse serviço:

# cat /usr/lib/firewalld/services/ssh.xml

firewall-cmd --zone public --list-all | awk '/services/ { for (i=2;i<=NF;i++) { print $i;system("grep -o port=.* /usr/lib/firewalld/services/"$i".xml") } }'

Uma solução que utiliza firewalld-cmd e awk seria como acima. Execute o comando firewall-cmd --zone public --list-all para obter a lista de serviços e, em seguida, retire a linha de serviços com awk. Fazendo um loop em cada serviço nesta linha (palavra delimitada por espaço), executamos um comando grep procurando por quaisquer portas em /usr/lib/firewalld/services/<service name>.xml

Observe que há risco associado à injeção de comando ao executar a função do sistema awk.