Lass dich bloß nicht verwirren. Ob du state/--state oder conntrack/--ctstate verwendest, ist hier unerheblich. Das Connection-Tracking kannst du in INPUT auch nicht beeinflussen, denn die Pakete durchlaufen bereits vor der INPUT-Kette der Standardtabelle filter das Connection-Tracking (https://upload.wikimedia.org/w…Netfilter-packet-flow.svg); das Connection-Tracking lässt sich nur in der Tabelle raw mit "-j NOTRACK" oder "-j CT --notrack" abschalten.
Also im Moment sehe ich keinen Fehler in deinen Filterregeln, der einen Zugriff auf Port 21 oder 8080 erlauben würde. In deiner 15. INPUT-Regel steht sogar, dass 8 an Port 21 gerichtete Pakete verworfen wurden!
Ich würde in INPUT alle ACCEPT-Ziele durch MYACCEPT und DROP durch MYDROP ersetzen und mir nach dem Nmap-Scan syslog ansehen.
Was mir aufgefallen ist:
1.) RELATED kann Nebenwirkungen haben. Deshalb steht bei mir
iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 0 -m conntrack --ctstate RELATED -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 3 -m conntrack --ctstate RELATED -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 11 -m conntrack --ctstate RELATED -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 12 -m conntrack --ctstate RELATED -j ACCEPT
2.) Damit "#Antispoofing" nicht das Connection-Tracking belastet, entsorge ich die Pakete mit zu offensichtlich gefälschtem Absender in der Kette PREROUTING der Tabelle raw.
iptables -t raw -A PREROUTING -i lo -j ACCEPT
iptables -t raw -A PREROUTING -s 127.0.0.0/8 -j DROP
iptables -t raw -A PREROUTING -s 0.0.0.0/8 -j DROP
iptables -t raw -A PREROUTING -s 10.0.0.0/8 -j DROP
iptables -t raw -A PREROUTING -s 172.16.0.0/12 -j DROP
iptables -t raw -A PREROUTING -s 192.168.0.0/16 -j DROP
iptables -t raw -A PREROUTING -s 224.0.0.0/3 -j DROP
PREROUTING ist ein geeigneter Ort für die Entsorgung von unerwünschten Paketen. Die Hashtabelle des Connection-Trackings wird entlastet, wodurch die Wahrscheinlichkeit für "table full, dropping packet" sinkt. Vorschlag:
iptables -t raw -A PREROUTING -p tcp -d 188.68.49.x --dport 8443 -j ACCEPT
iptables -t raw -A PREROUTING -p tcp -d 188.68.49.x --dport 8447 -j ACCEPT
iptables -t raw -A PREROUTING -p tcp -d 188.68.49.x --dport 22 -j ACCEPT
iptables -t raw -A PREROUTING -p tcp -d 37.120.183.x --dport 80 -j ACCEPT
iptables -t raw -A PREROUTING -p tcp -d 37.120.183.x --dport 443 -j ACCEPT
iptables -t raw -A PREROUTING -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j DROP
3.) "eth0:1" ist ein Alias für "eth0". Die drei "-i eth0:1"-Regeln in INPUT sind überflüssig.