我来帮你搞定这个问题～首先你用的命令语法本身是正确的，但firewalld的永久规则有个容易踩的坑：添加后不会立即生效，必须重载防火墙配置才能同步到运行时环境。另外我们还要确认规则是否真的加载成功，以及优先级是否符合预期。

正确的操作流程 #

1. 确认你的添加命令没问题 #

你执行的这条命令本身是对的，优先级设为0（数值越小优先级越高）能确保这条允许规则优先被匹配：

firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p tcp -m tcp --dport=80-1000 -j ACCEPT

2. 重载防火墙配置（关键！） #

这是你大概率漏掉的一步！添加永久规则后，必须执行重载命令，让永久配置生效到当前运行的防火墙里：

firewall-cmd --reload

3. 验证规则是否已成功加载 #

执行这条命令查看运行时的OUTPUT链direct规则，确认你的规则是否在列表里：

firewall-cmd --direct --get-rules ipv4 filter OUTPUT

如果能看到你添加的那条规则，说明已经成功加载了。

4. 要是还不生效？试试这些排查点 #

• 检查OUTPUT链默认策略：firewalld默认OUTPUT策略是ACCEPT，如果你的规则是允许端口，可能本来就允许，但如果策略被改成了DROP，就得确保你的规则优先级足够高。用这条命令看策略：

  firewall-cmd --direct --get-policy ipv4 filter OUTPUT
  

• 排查是否有其他规则拦截：如果有其他优先级更高的规则（不过0已经是最高优先级）或者其他链的规则先匹配并执行了DROP/REJECT，那你的允许规则可能不会触发。可以用iptables -L OUTPUT -n --line-numbers查看所有OUTPUT链的规则，确认你的规则位置是否正确。
• 先测试运行时规则：如果不想折腾永久规则，也可以先不加--permanent参数添加临时规则，这种方式不需要重载，添加后立即生效，适合快速验证：

  firewall-cmd --direct --add-rule ipv4 filter OUTPUT 0 -p tcp -m tcp --dport=80-1000 -j ACCEPT
  

  注意：临时规则会在防火墙重启后消失，测试没问题再转成永久规则即可。

总结 #

核心问题就是添加永久规则后没重载防火墙，执行firewall-cmd --reload就能解决大部分情况。要是还有问题，按照上面的排查点逐一确认就好。

内容的提问来源于stack exchange，提问作者Ibrahim Quraish