Открытие портов centos 7

Насколько я помню, closed значит, что порт никто не слушает. Если в файрволе закрыт, то будет статус filtered.

"STATE=closed" значит что порт открыт (nmap может к нему подключиться), но порт ничего не слушает. Для того чтоб посмотреть правила файрволла выполните iptables-save, и после этого уже будет понятно куда действовать дальше. Ну и то что вы сканируете локалхост - вам именно так нужно подключиться?

Ну и пара общих вопросов - порт слушает кто-нибудь, и если да - не плохо бы показать (используя netstat -nlp | grep 993) на каком интерфейсе ожидаются подключения? Подключение производится откуда - из той же сети или через интернеты (во втором случае вам потребуется чтоб провайдер пробросил порт\порты)?

Порт сейчас никто не слушает. Все развернуто на коробочном битриксе, 993 порт просит яндекс, что бы битрикс мог самостоятельно чекать новые сообщения в ящике, нетстат ничего не выдал на счет 993 порта. Порты проброшены, никаких запретов на 993 порт не стоит (битрикс стоит на вм, вм стоит на вмваре). В правилах iptables он есть, стоит «разрешен». Но сейчас, сидя на домашнем пк через впн, телнет 993 порта не слышит. На том же сервере стоит почта - 993 прекрасно слышит.

«что бы битрикс мог самостоятельно чекать новые сообщения в ящике» нужны исходящие соединения на 993, а не входящие.

Нормальные люди после установки CentOS 7 первым делом сносят убогий firewalld.

в этом что то есть, спасибо. но как объяснить то что инпут порт не слушается телнетом?

Какой порт, как можно слушать телнетом?

# telnet imap.yandex.ru 993
Trying 93.158.134.124...
Connected to imap.yandex.ru.
Escape character is '^]'.

Если у тебя так же, то никаких портов тебе открывать не надо.

993 На шиндоусе телнетом на двух разных серверах прослушиваю 993 порт. На одном все ок, на другом не даёт коннектится.

«STATE=closed» значит что порт открыт (nmap может к нему подключиться), но порт ничего не слушает

Нет, это означает, что ОС получила RST в ответ на SYN при попытке соединения и передала соответствующий ответ nmap'у. Это точно так же можно настроить в фаерволле, как и DROP. То, что обычно имеют в виду под «порт открыт», является суммой двух условий: - порт не закрыт фаерволлом; - на порту кто-то слушает. Но это дурацкая терминология.

значит что порт открыт (nmap может к нему подключиться), но порт ничего не слушает

это означает, что ОС получила RST в ответ на SYN при попытке соединения и передала соответствующий ответ nmap'у.

И где тут противоречие?

Нет

https://nmap.org/man/ru/man-port-scanning-basics.html

закрыт (closed)

Закрытый порт доступен (он принимает и отвечает на запросы Nmap), но не используется каким-либо приложением. Они могут быть полезны для установления, что по заданному IP адресу есть работающий хост (определение хостов, ping сканирование), или для определения ОС. Т.к. эти порты достижимы, может быть полезным произвести сканирование позже, т.к. некоторые из них могут открыться. Администраторы могут заблокировать такие порты с помощью брандмауэров. Тогда их состояние будет определено как фильтруется, что обсуждается далее.

Это точно так же можно настроить в фаерволле, как и DROP.

А еще можно сделать echo 'echo "ВСЕ ПОРТЫ ЗАКРЫТЫЕ!!"' | sudo tee /usr/bin/nmap, но начинать надо с простых случаев.

https://nmap.org/man/ru/man-port-scanning-basics.html

Можно сделать -j REJECT --reject-with tcp-reset, nmap скажет, что он закрыт (closed), но при этом приложение все равно не будет доступно на этом порту. Поэтому документация по ссылке неполная, как минимум. Там всего лишь описаны наиболее часто встречающиеся случаи.