Geralmente, há duas opções para bloquear o tráfego quando se trata de iptables / firewalld security: DROP o pacote ou REJECT it.
REJECT resulta em um pacote icmp-host-prohibited ICMP sendo enviado de volta ao cliente informando que o host final recusou a conexão. Isso geralmente é descrito como "Conexão recusada" pelo seu aplicativo.
DROP faz com que o host final não envie qualquer coisa de volta em resposta à solicitação de conexão TCP. Como nada é enviado de volta, isso parece para o cliente como sendo idêntico aos pacotes que estão sendo perdidos ou descartados por algum roteador. Como os clientes geralmente fazem várias tentativas de estabelecer uma conexão, isso pressupõe que há algo errado com o roteamento na rede (o que é tecnicamente verdadeiro neste caso) e relata que o problema é rotear o pacote pela rede.
Portanto, parece que o seu firewall está apenas soltando pacotes enquanto não está optando por enviar o pacote ICMP informando o outro nó.