É o tipo de rejeição 'tcp-reset' que faz o que o SO normalmente faz com as portas fechadas:
-A INPUT -i ens3 -p tcp -j REJECT --reject-with tcp-reset
Fechando portas, exceto 22 e 443. Isso diminui drasticamente as varreduras do nmap:
-A INPUT -i eth0 -p tcp -m multiport --dports 22,443 -j ACCEPT
-A INPUT -i eth0 -p tcp -j REJECT --reject-with icmp-port-unreachable
Se eu remover a regra REJECT, o nmap é rápido.
Então, como fazer outras portas parecerem portas fechadas sem diminuir o nmap?