NMAP kan identifiera portar som är skyddade av en brandvägg (t.ex. IPtables) genom att analysera brandväggens svar på anslutningsförsök. Standardregler som drop (ingen respons) eller reject (ICMP port unreachable) skiljer sig från operativsystemets svar (TCP RST) för oanvända portar, vilket avslöjar att en tjänst är installerad men filtrerad. Artikeln visar hur en port som MySQL, trots att den är blockerad, kan identifieras som "filtered" av NMAP. Lösningen för att dölja filtrerade portar är att använda IPtables med alternativet --reject-with TCP-reset. Detta får brandväggen att svara med ett TCP RST-paket, vilket gör att NMAP rapporterar den filtrerade porten som "closed", precis som en oanvänd port.