Не закрыть 111 порт

Закрыт он, но можно еще

-j REJECT

а политику по умолчанию в INPUT - DROP

Не запускай демон, слушающий 111-й порт и порт будет closed.
Ну или настрой демон так, чтобы слушал только локалхост (и те интерфейсы, для которых надо).

Вот про разницу drop и reject В чем разница в IPTABLES (DENY and REJECT)????? (комментарий)

настрой демон так, чтобы слушал только локалхост (и те интерфейсы, для которых надо)

Плюсую. С этого начинать надо настройку. А уж потом фильтровать...

настрой демон так, чтобы слушал только локалхост (и те интерфейсы, для которых надо)

Плюсую. С этого начинать надо настройку. А уж потом фильтровать...

Люто Минусую.
1. «Простое»: Демона можно и «забыть» настроить.
2. «Чуть сложнее»: Не все демоны (из каробки) при нескольких интерфейсах умеют слушать «только eth0 eth3 но не слушать eth7» (это тупой пример)
А вот fw будет работать. И не надо «включать мозг» в части настройки каждого демона при любых изменениях.

TC Чуть больше подробностей в части iptables-save. А то у Вас -A и мы не знаем что перед ним.

nmap тебе говорит, что в ответ на SYN пакет ему не пришло TCP RESET для закрытого порта или SYN ACK для открытого, а значит порт фильтруется. Если тебе нужно обманывать сканеры, почитай тут, как отвечать им, будто порт закрыт. Если извращаться не нужно, то забей, правило работает.

согласен, но хуже то никогда не будет если демон слушает только то что надо. Фаервол никто не отменял. И забывать про него, естественно, не надо.

согласен, но хуже то никогда не будет если демон слушает только то что надо.

И да и нет.
С точки зрения настроил и забыл - да.
С точки зрения изменений - нет, см. мой первый пункт, да и просто больше мест где что-то поправить нужно, а если сюда добавить всякие обновления+*ненужноД и еще предположить что это вам досталось в наследство - то не очень удобно.
Поймите правильно, я не категоричен, использую и то и то, просто все должно быть разумно.

просто все должно быть разумно

Вы правы. В данном случае это есть безопасность в ущерб, переносимости и дальнейшей поддержки системы. Тут надо взять свои слова обратно.

Лишний раз править default-config без необходимости не стоит. Система может быть обновлена (и конфиг тоже), перенесена на другой сервер, админ может быть не один, могут быть добавлены сетевые интерфейсы и т.д.

А вот автору топика, ксательно имено настройки фаервола на сервере, а не реакции nmap на закрытый порт, надо бы отметить, что такого правила (--dport 111 -j DROP) и быть не должно.

Фаервол (и не только) надо настраивать с точки зрения «deny all, accept только то что надо»

В простейшем случае, если надо разрешить ssh всем и открыть 80ый порт только для локалки, должно быть что то вроде:

iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT              # accept ssh from all
iptables -A INPUT -i eth0_LAN -m state --state NEW -p tcp --dport 80 -j ACCEPT  # accept http connections from lan
iptables -P INPUT DROP

но не так:

iptables -F
iptables -P INPUT ACCEPT
iptables -A INPUT -i eth1_WAN -p tcp --dport 80 -j DROP

Это только простейший пример для INPUT. Настроить можно как угодно, но все же...

Воистинну!

Всем спасибо, меня запутал фаервол, из-за которого порт помечался как фильтруемый, а не закрытый, как я думал.