Mientras que muchos escaners de puertos tradicionalmente agrupan todos los puertos en estados de abierto o cerrado, Nmap es mucho más preciso. Divide los puertos en seis estados: open, closed, filtered, unfiltered, open|filtered o closed|filtered

Estos estados no son propiedades intrínsecas del puerto por si mismo, sino que describen como Nmap los visualiza. Por ejemplo un escaneo con Nmap en la misma red del objetivo puede mostrar el puerto 135/tcp abierto, mientras que un escaneo al mismo tiempo con las mismas opciones a través de Internet podría mostrar que el puerto está “filtered” (filtrado).

Los seis estados de puertos reconocidos por Nmap son:

1. open

Una aplicación está activamente aceptando conexiones TCP, datagramas UDP o asociaciones SCTP a este puerto. Encontrarlos es frecuentemente el principal objetivo del escaneo de puertos. Gente mentalizada en seguridad conoce que cada puerto abierto es una vía para un ataque. Los atacantes y hackers éticos desean explotar estos puertos abiertos, mientras que los administradores intentan cerrar o protegerlos con firewalls sin impedirlos a usuarios legítimos. Los puertos abiertos también son interesantes para escaneo no orientados a la seguridad porque muestran servicios disponibles para ser usados en la red.

2. closed

Un puerto cerrado se puede acceder (este recibe y responde a los paquetes de prueba de Nmap), pero no hay una aplicación atendiendo en este. Esto puede ser útil para mostrar que un host está en funcionamiento en una dirección IP (descubrimiento del host, o escaneos ping), y como parte de la detección del Sistema Operativo. Debido a que los puertos cerrado son alcanzables, puede ser útil escanearlos más adelante en caso alguno se abra. Los Administradores deben considerar bloquear estos puertos con un firewall. Luego aparecerán con un estado filtrado (filtered), discutido en el siguiente punto.

3. filtered

Nmap no puede determinar si el puerto esta abierto debido a un filtrado de paquetes que evita a las pruebas alcanzar al puerto. El filtrado puede ser en la forma de un dispositivo firewall dedicado, reglas de u router, o software de un firewall basado en host. Estos puertos frustran a los atacantes debido a que proporcionan poca información. Algunas veces responden con mensajes de error ICMP, tal como un tipo 3 código 13 “destino inalcanzable: comunicación administrativamente prohibida” (destination unreachable: communication administratively prohibited), pero los filtros que descartan las pruebas sin responder son más comunes. Esto obliga a Nmap a intentar varias veces en caso la prueba haya sido descartada debido a la congestión de la red en lugar del filtrado. Esto hace dramáticamente más lento el escaneo.

4. unfiltered

Este esta significa que el puerto se puede acceder, pero Nmap no es capaz de determinar si está abierto o cerrado. Solo el escaneo ACK, el cual es utilizado para mapear reglas de firewall, clasificar los puertos en este estado. El escaneo de puertos sin filtrar con otros tipos de escaners como escaneo Window, escaneo SYN, o escaneo FIN, puede ayudar resolver si el puerto está abierto.

5. open|filtered

Nmap pone un puerto en este estado cuando este no puede determinar si el puerto esta abierto o filtrado. Este ocurre par un tipo de escaneo en el cual los puertos dados no responden. La ausencia de respuesta podría significar también que un filtro de paquetes descarga la prueba o cualquier respuesta generada. De esta manera Nmap no conoce con seguridad si el puerto está abierto o está siendo filtrado. Los escaneos, UDP, protocolo IP, FIN, NULL, y Xmas clasifican los puertos de esta manera.

6. closed|filtered

Este estado es utilizando cuando Nmap no es capaz de determinar si un puerto está cerrado o filtrado. Este es solo utilizado para el escaneo idle IP ID.

Fuente: http://nmap.org/book/man-port-scanning-basics.html