Uma caixa Debian está executando serviços da web nas portas 80 e 443 e o iptables está configurado para permitir o tráfego da web apenas de endereços IP da lista branca.
Uma segunda caixa Debian (que não está na lista branca) está usando o nmap para executar uma verificação de porta no servidor da Web e está mostrando corretamente que todas as portas estão fechadas; no entanto, os resultados da verificação do nmap às vezes incluem o seguinte:
sendto in send_ip_packet_sd: sendto(4, packet, 44, 0, X.X.X.X, 16) => Operation not permitted
Offending packet: TCP X.X.X.X:53268 > X.X.X.X:443 S ttl=43 id=46849 iplen=44 seq=955188003 win=1024 <mss 1460>
A porta 80 nunca é mencionada nos resultados da verificação - apenas a porta 443.
Por que a porta 443 (mas não a porta 80) está sendo exposta ao nmap?
Isso parece realmente ser um problema que está ocorrendo em sua segunda caixa Debian quando ela tenta enviar os pacotes em questão, em vez de ter algo a ver com a caixa que você está digitalizando.
Tente desabilitar iptables/netfilter na segunda caixa e veja se isso ajuda.