Uma varredura Nmap não fornece necessariamente uma imagem 100% precisa de quais portas estão bloqueadas em um firewall. Você não pode simplesmente verificar a interface de rede do firewall para discernir as regras. Você precisa passar o tráfego pelo firewall para fazer isso. Assim, você poderia usar o Nmap com um host na Internet e, em seguida, verificar o IP dessa mangueira, o que, por sua vez, enviaria tráfego através do firewall e exerceria quaisquer regras de bloqueio de porta. Mas você precisa de algo do outro lado, como o wireshark, para validar com certeza se os pacotes chegaram lá porque simplesmente obter um SYN / ACK de volta não prova 100%.
A maneira mais fácil de testar as portas de saída bloqueadas é com IsMyPortBlocked .
Você pode fazer testes manuais que farão com que o tráfego seja enviado do applet Java IsMyPortBlocked (que é baixado para o seu PC) para o servidor, sobre cada porta especificada.